Trápí Vás možnost, že bude narušeno zabezpečení Vaší ICT? Hledejte tedy řešení, jelikož tento problém může mít pro organizaci fatální následky. Následků, které s sebou narušení může nést, je celá řada. Je tedy více než důležité implementovat vhodnou strategii postupu, jak takovému problému předejít a dostatečně zabezpečit Vaše ICT.
Většina firem si je plně vědoma rizik spojených s bezpečností a má tedy nějakou formu zabezpečení ICT implementovanou. Je však Vaše zabezpečení dostačující? Nechcete-li čekat na ozkoušení zabezpečení v praxi, je ideálním řešením bezpečnostní audit. K čemu je, jak funguje a proč je dobré ho jednou za čas provádět, na to se společně právě teď podíváme.
Obecně se dá říci, že jde o účelovou diagnostiku zabezpečení informačních technologií v organizaci. Systémově se tak prověří, zda jsou charakteristiky bezpečnostních systémů nastaveny v souladu s platnou legislativou a zda jsou dostatečně účinné. Když se ale na prověrku podíváme v praxi, jednotlivé firmy rozhodně nenabízí v rámci auditu to samé. Pod tímto pojmem se totiž skrývá leccos – od prosté zranitelnosti až po podrobné komplexní posouzení systému řízení ICT.
Postup tedy bývá různorodý, běžně ale obsahuje dvě části:
- Stanovení cíle bezpečnostního auditu ICT
- Zvolení techniky/nástroje, jehož pomocí dosáhneme tohoto cíle efektivněji
Bezpečnostní audit lze navíc dělit na dva typy:
- Procesní (cílem je ověřit, zda procesy zajišťující bezpečnost ICT ve firmě jsou nastaveny správně)
- Technické (cílem je ověřit, zda bezpečnostní charakteristiky ICT systémů jsou nastaveny správně)
.. tyto typy jsou poté rozčleněny dle zaměření na různé detaily celého systému.
Do procesní části lze zařadit audit ISMS, incident response procesorů, audit bezpečnostní politiky, audit disaster recovery a business continuity plánů.
V oblasti technické najdeme audit stavu hardwaru a softwaru, firewallu, serverů, stanic a wifi. Dále pak vzdálených přístupů, bezpečnosti emailu, mobilních zařízení a antimalwarové ochrany.
Speciálním typem ověření ICT systémů jsou penetrační testy. Z pohledu mnoha teoretiků se tato technika bude zdát naprosto k ničemu, opak je však pravdou. Co lépe prověří bezpečnost v organizaci než skutečný zátěžový test, kdy systém bude muset odolat simulovanému útoku. Pokud se během testu testeři dostanou k jakýmkoliv datům, je něco špatně, a to bez ohledu na množství certifikátů, které z oblasti zabezpečení máte. Rozeznáváme jednotlivé druhy penetračních testů – externí, interní, test prověřující webové a mobilní aplikace či mobilní sítě.
V příští části naší minisérie se dozvíte, jak přesně audit probíhá ve firmě, co k němu je zapotřebí a jaké konkrétní výstupy díky němu získáte. Také Vám poradíme, kde si nechat audit udělat dle Vašich požadavků. Možná si říkáte, zda není zbytečné do takové věci investovat, když se vám ještě nikdy nic nestalo? Rozhodně není! Toto lze přirovnat například k technické prohlídce vozidla, na kterou také pravidelně chodíte i přesto, že Vás auto ještě nikdy nenechalo ve štychu. Děláte to právě proto, aby vše fungovalo jak má, až dojde na nějakou rizikovou situaci.
Chcete řešit zabezpečení ve své firmě za pomoci bezpečnostního auditu, ale nevíte na koho se obrátit? Kontaktujte nás na emailu vseprobezpecnost@discret.cz či v komentářích. Rádi Vám se vším poradíme.
Obušky, štíty, helmy nejsou ženám v Iráku cizí. Cvičí se tam ženská zásahová jednotka.