wtorek

Co to jest audyt informatyczny – kiedy i dlaczego warto go przeprowadzać


Autor: Krzysztof Kurilec



Trudno wyobrazić sobie współczesną firmę nie korzystającą z rozwiązań informatycznych. W zasadzie można dzisiaj mówić o uzależnieniu od informatyki. Zapewne i w Twojej firmie komputer jest podstawowym narzędziem pracy – i Twoim i innych pracowników.

Komputery są spięte w sieć, jest jakiś serwer, masz stronę internetową, funkcjonuje e-mail.
Wszystko wprawdzie działa, ale może zadajesz sobie pytanie czy wszystkie rozwiązania są optymalnie dobrane i poprawnie skonfigurowane, czy wszystkie programy są legalne, czy dane są wystarczająco zabezpieczone, czy nikt nieuprawniony na pewno nie dostanie się do Twojego systemu.
Jeżeli jeszcze takich pytań sobie ani nikomu nie zadawałaś a nie jesteś tego pewien to możesz albo dalej trwać w nieświadomości albo czytać dalej i dowiedzieć się co możesz zrobić.
Przydałoby się kogoś zapytać :-)
Jak zapytasz swojego informatyka, najprawdopodobniej zapewni Cię, że wszystko jest w najlepszym porządku i możesz spać spokojnie.
Możesz albo mu uwierzyć albo uznać, że może lepiej zapytać kogoś z zewnątrz, kto zna się na rzeczy i zagwarantuje obiektywne spojrzenie eksperta.
Usługa, o której mowa w informatycznym żargonie nazywana jest audytem informatycznym. Słowo audyt czasami źle się kojarzy, ale w tym przypadku nie trzeba się go bać. Zlecasz go przecież z własnej woli, w jakimś celu a wyniki z zasady są poufne.

Ogólnie mówiąc celem audytu informatycznego może być:
- ocena czy zastosowane rozwiązania są zgodne z obowiązującymi obecnie standardami
- ocena wrażliwości systemu na zagrożenia, jakie mogą wystąpić
- identyfikacja występujących problemów oraz ich przyczyn
- dobór optymalnych rozwiązań określonych problemów
- wydanie opinii lub certyfikatu

Nie chodzi więc o nakładanie kar i grzywien jak w przypadku innych audytów, lecz o wczesne i we własnym zakresie wykrycie zagrożeń oraz redukcję ich skutków poprzez zaproponowanie działań, których celem jest zapobieżenie potencjalnym problemom i/lub naprawa wykrytych.
Audyt można przeprowadzić w każdym momencie i może on dotyczyć całości lub wybranych elementów infrastruktury informatycznej:

- Systemów zabezpieczeń danych:
      - Czy wszystkie ważne dane są archiwizowane ?
      - Czy nośniki z kopiami danych są bezpiecznie przechowywane ?
      - Czy była wykonana próba odtworzenia danych z backupu ?
      - Czy istnieje plan odtworzenia danych w przypadku poważnej awarii ?


- Systemów zabezpieczeń łączności:
    - Czy łącze internetowe jest wystarczająco szybkie i niezawodne ?
    - Czy jest łącze zapasowe ?
    - Czy jest opracowana i przećwiczona procedura przełączania na łącze zapasowe ?
    - Czy jesteś przygotowany na awarię np. switcha, do którego podpięte są wszystkie komputery ?


- Oprogramowania:
     - Czy na każdym komputerze są zainstalowane niezbędne i tylko niezbędne do pracy programy ?
     - Czy wszystkie używane programy mają licencję ?


- Systemów operacyjnych:
      - Czy komputery mają optymalne systemy operacyjne ?
      - Czy są wgrane wszystkie istotne service packi, uaktualnienia i łatki ?


- Sprzętu komputerowego:
       - Jaki jest stan komputerów, drukarek i innych urządzeń ?
       - Czy konfiguracje komputerów odpowiadają wymogom oprogramowania ?
       - Jakie potencjalne problemy mogą pojawić się w najbliższym czasie ?


- Okablowania strukturalnego:
       - Czy okablowanie ma parametry zapewniające niezawodną pracę ?
       - Czy jest optymalnie zaprojektowane ?


- Sieci bezprzewodowych:
       - Czy używane rozwiązanie jest bezpieczne ?
       - Czy poziom szyfrowania jest bezpieczny ?
       - Czy poziom sygnału jest wystarczające we wszystkich pomieszczeniach, gdzie sieć ma być dostępna ?


- Systemów zasilania:
       - Czy kluczowe elementy mają zapewnione zasilanie awaryjne ?
       - Czy moc zasilaczy awaryjnych jest prawidłowo dobrana ?
       - Czy czas podtrzymania jest wystarczająco długi ?
       - Czy akumulatory są sprawne ?


- Systemów chłodzenia:
       - Czy moc klimatyzacji jest dobrana odpowiednio do mocy urządzeń – źródeł ciepła ?
       - Czy klimatyzacja jest regularnie serwisowana ?

To tylko przykładowe pytania, na które odpowiedzi daje audyt.
Warto przeprowadzać audyty zawsze jako pierwszy etap jakiejkolwiek inwestycji czy zmiany, aby być pewnym, że rozwiąże ona występujące lub potencjalne problemy oraz ocenić jak wpłynie ona na otoczenie (np. czy zakup nowych serwerów nie spowoduje konieczności instalacji nowej klimatyzacji albo czy instalacja nowej, wydajniejszej klimatyzacji w serwerowni nie spowoduje wzrostu zapotrzebowania na energię ponad dostępne możliwości).
Audyt informatyczny można porównać do badań lekarskich, które można robić profilaktycznie albo po wystąpieniu niepokojących objawów, jako pierwszy etap do postawienia diagnozy i wyleczenia.


Krzysztof Kurilec