Audyt

Audyt

Działalność firmy narażona jest na wiele niebezpieczeństw generowanych w obszarze IT.

Najczęstsze z nich powodowane są przez:

  • czynnik ludzki (nieprawidłowa obsługa, zawirusowanie, udostępnienie danych, świadome lub nieświadome użyczenie dostępu osobie niepowołanej, brak lub niestosowanie standaryzowanych procedur),
  • nieprawidłowości w infrastrukturze informatycznej,
  • niewłaściwie skonstruowane procedury lub ich brak.

Audyty wspomagają zarządzających firmą w wyeliminowaniu lub zminimalizowaniu wspomnianych zagrożeń.


Audyt pozwala na:

  • przejrzyste i dokładne przedstawienie obecnej sytuacji,
  • identyfikację obszarów szczególnie podatnych na zagrożenia,
  • wybór sposobu minimalizacji bądź wyeliminowania zagrożeń,
  • ocenę skutków wystąpienia poszczególnych zagrożeń,
  • zmiany sposobu myślenia o bezpieczeństwie w firmie.

Audyt technologiczny środowiska informatycznego

Audyt technologiczny polega na testach penetracyjnych elementów infrastruktury informatycznej. Prowadzony jest w oparciu o różne metodyki. Audyt „blackbox” zakłada brak znajomości infrastruktury przez audytorów, stosowany jest najczęściej przy audycie styku z siecią publiczną oraz aplikacji internetowych. Audyt „greybox” wykorzystywany jest do badania sieci lokalnej. Audytorzy mają do niej dostęp, ale nie posiadają o niej żadnej wiedzy. Audyt „whitebox” to audyt konfiguracji systemów i urządzeń sieciowych. Audytorzy mają administracyjny dostęp do systemów i urządzeń, audyt realizowany jest pod nadzorem klienta.

Audyt proceduralny

Audyt proceduralny polega na przeprowadzeniu oceny bezpieczeństwa wewnątrz organizacji skoncentrowanej na czynniku ludzkim, prowadzona jest ocena bezpieczeństwa organizacyjnego oraz weryfikacja praktyk i procedur zarówno formalnych jak i nieformalnych. W wyniku tak przeprowadzonego audytu opisany i zweryfikowany stan faktyczny skonfrontowany zostanie z najlepszymi praktykami w zakresie administracji oraz zaleceniami uznanych standardów w zakresie bezpieczeństwa IT i ładu informatycznego takich jak norma PN-ISO/IEC 27001:2007, PN-ISO/IEC 17799:2007, CobiT 4.1, ITIL, itd.

Audyt socjotechniczny

Audyt socjotechniczny koncentruje się na ocenie świadomości użytkowników w zakresie bezpieczeństwa informacji. Ukazuje jak zachowują się pracownicy wobec prób wyłudzenia informacji i ataków specjalistów od socjotechniki. Podczas audytu wykorzystywane są przeróżne techniki manipulacji. Cele audytu uzgadniane są wraz z klientem przed przystąpieniem do działań.

Audyt bezpieczeństwa informacji

Audyt bezpieczeństwa informacji polega na ocenie poziomu bezpieczeństwa systemów informatycznych wykorzystywanych w przedsiębiorstwie. Obejmuje przegląd polityk i procedur pod kątem zgodności z najlepszymi praktykami oraz normą PN-ISO/IEC 27001:2007.