Odhalení skrytých rizik – proč je IT audit tak důležitý a jak probíhá?
IT audit je důležitý pro identifikaci a minimalizaci rizik spojených s informačními technologiemi a zajištěním souladu s pravidly a nařízeními. Není důvod se ho bát, protože vám stav vašeho IT pomůže vylepšit (tím, že identifikuje jeho nedostatky) a nezpůsobí ničí vyhazov nebo panický úprk manažerů na Kanárské ostrovy. Pojďme se na něj podívat blíž.
K čemu je IT audit?
Hlavním cílem IT auditu je report, zda vaše informační technologie:
-pracují správně a poskytují spolehlivé informace,
-nejsou zastaralé,
-fungují v souladu s platnými nařízeními,
-jsou dobře zabezpečené a mají k nim přístup jen oprávnění uživatelé,
-odpovídají cílům a strategii společnosti
-a další.
Jinými slovy se IT audit ve vaší firmě zpravidla zaměří na:
-Identifikaci a řízení rizik – objeví potenciální bezpečnostní hrozby a slabá místa ve vaší IT infrastruktuře a procesech a navrhne, jak je odstranit a dále řídit.
-Zabezpečení a ochranu dat – přezkoumává stávající bezpečnostní protokoly a navrhne jejich vylepšení.
-Soulad s předpisy a standardy – pomáhá zajistit dodržování právních předpisů, norem nebo průmyslových standardů, čímž se minimalizuje riziko právních a finančních sankcí.
-Optimalizaci zdrojů – prozkoumá efektivitu IT operací a alokace zdrojů, čímž odhalí možnosti pro zlepšení a zvyšování návratnosti investic do IT.
To nezní jako něco, z čeho byste museli mít strach, že? IT audit vám pomůže vyhnout se sankcím, ochránit informační aktiva a navrhne vylepšení stávajících systémů a procesů. Někdy slouží i jako podpora pro následný finanční audit.
Dělení IT auditů
IT audit můžou provádět interní auditoři nebo externí specialisté. Podle oblasti, na kterou se audity zaměřují, je jde také dělit na několik typů:
-Aplikační a systémový audit se soustředí na posouzení toho, jestli jsou vaše aplikace a systémy efektivní, aktuální a spolehlivé, aby co nejlépe sloužily vašemu podnikání.
-Informační audit hodnotí, jak spravujete svá informační aktiva včetně dat, informačních procesů i politiky. A to za běžného provozu i v případě bezpečnostních incidentů.
-Audit podnikové infrastruktury přezkoumává fyzickou a technologickou strukturu IT včetně sítí, databází a hardwarových komponent, aby se ověřilo, jestli jsou efektivní a odpovídají potřebám společnosti.
-IT audit softwaru i hardwaru síťové infrastruktury včetně komunikačních protokolů, aby se ověřilo správné fungování a zabezpečení sítě.
-Bezpečnostní audit se zaměřuje na ochranu, identifikaci slabých míst a zranitelností v bezpečnostních protokolech a systémech. Cílem je zajistit, že jsou všechny bezpečnostní opatření proti potenciálním hrozbám dostačující.
Nebo se může jednat o komplexní IT audit, který prozkoumá všechny tyto oblasti. U nás používané komplexní audity používají hodnocení jednotlivých oblastí dle metodiky CMMI (Capatibility Maturity Model Integration) a vychází z všeobecně přijímaných standardů COBIT, ISO 27001 nebo ITIL.
Jak IT audit probíhá?
IT audit vyžaduje plán, jak při jeho plnění postupovat. Počítejte s tím, že audit trvá klidně měsíc a obvykle se skládá z těchto kroků:
1. Plánování a příprava
Kdy si stanovíte typ a rozsah auditu a určíte, zda ho bude provádět externí odborník nebo vy sami interně. Informujete o plánovaném auditu zaměstnance a řeknete jim, co se od nich očekává. Auditor musí být následně seznámený s fungováním společnosti, jejími cíli, strategií, IT prostředím a případně specifickými požadavky na informační technologie. Následně se stanoví metodika auditu a jeho harmonogram. Včetně toho, kteří zaměstnanci mají být auditorovi k dispozici a jaké dokumenty potřebuje (ideálně je připravte ještě před jeho příchodem).
2. Prvotní seznámení
V této fázi manažer IT auditu začíná lépe rozumět firmě a jejímu fungování. Mluví s personálem starajícím se o IT, manažery oddělení a dalšími povolanými osobami, aby získal přehled o IT systémech a procesech. Dělá revizi nastavených firemních politik, procedur a dalších dokumentů, které poskytují informace o nastavení a provozu IT systémů. Také eviduje hardware, software a jiné komponenty IT infrastruktury.
3. Testování a hodnocení
Během této fáze se provádějí specifické kontroly a testy. Například zabezpečení – provádění penetračních testů, analýza zranitelností a identifikace slabých míst. Dále hodnocení pravděpodobnosti vzniku a rozsahu dopadu potenciálních bezpečnostních incidentů. Samozřejmě kontrola, zda nastavené procesy splňují legislativní požadavky. A v neposlední řadě hodnocení efektivity operací a jestli jsou procesy optimalizované tak, aby co nejlépe podporovaly obchodní cíle.
Každý auditorský tým má své osvědčené metodiky, podle kterých postupuje a konkrétní úkony se tedy můžou lišit, ale princip auditu je vždy podobný.
4. Analýza zjištění IT auditu a předání doporučení
V této fázi auditoři analyzují shromážděná data a dávají dohromady klíčová zjištění. Jedná se třeba o identifikaci slabých míst a nesrovnalostí, které vyžadují zlepšení nebo představují bezpečnostní riziko. Kromě jejich identifikace vám samozřejmě připraví doporučení, jak zjištěné problémy odstranit či jim předcházet. Výsledky prezentují manažerům a sepíšou do přehledné zprávy, ze které můžete dále vycházet.
Buďte připraveni na to, že bude potřeba pozměnit současné procesy, pravidla firemní bezpečnostní politiky nebo proškolit zaměstnance (nejčastější příčinou bezpečnostních incidentů bývá totiž právě lidská chyba). Tak s tím raději dopředu počítejte.
Jak často IT audit dělat?
To je zajímavá otázka, na kterou se určitě ptá řada z vás. Bohužel na ní nejde jednoznačně odpovědět. Frekvence IT auditu závisí na řadě faktorů včetně velikosti organizace, oboru jejího podnikání, míry vystavení rizikům a předchozích zkušeností s bezpečnostními incidenty. Nebo zda je potřeba jako podklad pro už zmiňovaný finanční audit.
Organizace vystavené vyššímu riziku, jako jsou ty, které spravují velké množství citlivých dat, jsou často terčem kybernetických útoků, by měly provádět IT audity častěji – minimálně jednou do roka či častěji. I po větším bezpečnostním incidentu je audit určitě na místě.
IT audit se také doporučuje provést v případech, kdy dojde k větším změnám ve firemní IT infrastruktuře – jako je například přechod na cloudové služby nebo implementace EPR systému. Pomůže vám ověřit správnost a bezpečnost těchto novinek.
Pro větší firmy a organizace se vyplatí dělat IT audit pravidelně, například jednou do roka, a porovnávat zjištění jednotlivých auditů, aby se ujistily, že dochází ke zlepšování. Menším firmám pravděpodobně stačí s větším časových odstupem.
Každopádně IT audity nepodceňujte a dělejte je pravidelně. Zastaralé, špatně fungující nebo málo zabezpečené IT může totiž vést k poškození společnosti a ztráty důvěryhodnosti v očích partnerů, dodavatelů i zákazníků.
Zdroj foto: Gorodenkoff / Shutterstock.com