18.04.2016

Jan Krátký, vedoucí IT divize ICS Praha: AUDIT IT NEPŘINÁŠÍ JEN ÚSPORY, ALE I MINIMALIZACI RIZIK

V dnešním rozhovoru se ředitel IT divize ICS Praha Jan Krátký zamýšlí nad výhodami, které IT audity přináší organizacím všech velikostí.

  1. Pojďme si krátce promluvit na téma IT auditů. První otázka asi každého zajímá nejvíc: Jaké výhody mohou organizace od auditů IT očekávat a proč by se do nich vlastně měly pouštět?

    Důvodů a výhod je celá řada, dají se ale shrnout jednoduše: protože se to vyplatí. IT audity pomáhají zajistit bezpečné a efektivní fungování firmy a ušetřit peníze, ať už formou přímých úspor či prevence nečekaných výdajů.

    Procesní audity umožňují efektivnější fungování interních postupů, a snižují tak provozní náklady a nutné investice do IT. Díky bezpečnostním auditům pak zjistíte, jak dobře je vaše IT infrastruktura chráněna proti potenciálním útočníkům. Fungují jako účinná prevence budoucích škod a mohou ušetřit nejen frustraci, ale i značné náklady na hašení požárů. Bezpečnostní incidenty navíc poškozují dobré jméno firmy, a zejména dnes, kdy se ochrana osobních údajů dostává čím dál tím více do popředí zájmu, tak mohou způsobit obrovské nepřímé náklady. 

  2. Zmínil jste audity procesní a bezpečnostní. Můžete rozdíl mezi nimi vysvětlit podrobněji?

    Každý audit musí být pojat individuálně, podle klientových cílů. Může se věnovat infrastruktuře, aplikacím, procesům nebo projektům. Zaměřit jej pak lze spíše směrem na zajištění důvěrnosti, bezpečnosti a dostupnosti informací, nebo na efektivitu firemního IT a omezení plýtvání. Obě tyto varianty lze spojit i do komplexní, hloubkové prověrky.

    Procesní audity posuzují přiměřenost infrastruktury a aplikační architektury a její vhodnost pro zamýšlený účel, posuzují se ale též datová propojení jednotlivých entit, systémů a procesů. Dále se obvykle analyzuje koncepce interních procesů IT oddělení a jejich efektivita.

    Audity zaměřené na bezpečnost pokrývají velice širokou oblast od hodnocení zranitelností počítačových sítí přes penetrační testování, sociální inženýrství až po fyzickou bezpečnost. V posledním případě můžeme například prakticky testovat zabezpečení objektů, systémů vstupních karet apod.

  3. Jak následně probíhá hodnocení slabých míst v informační infrastruktuře?

    Hodnocení rizik tvoří nedílnou součást každého auditu. Je možné použít různá hodnoticí kritéria, z hlediska klienta však bývá nejpřínosnější orientovat se podle potenciálního dopadu na hlavní činnost organizace a její důvěryhodnost jako obchodního partnera.

  4. Dají se vyčíslit úspory, které firmám audit IT a následná opatření přinesou?

    V případě optimalizace procesů a infrastruktury je po úvodním auditu obvykle možné úspory odhadnout poměrně přesně. V případě bezpečnostních auditů nejde v první řadě o úspory, ale o minimalizaci rizik. Finanční dopady velkých bezpečnostních incidentů mohou být značné, někdy až likvidační, prevence je tedy určitě na místě.

  5. Jak pravidelně je potřeba nebo záhodno  audity opakovat?

    Optimalizaci procesů pro konkrétní oblast obvykle není nutné v blízké budoucnosti opakovat, pokud nedojde k větším organizačním změnám ve společnosti. Naopak bezpečnostní audity je dobré provádět pravidelně. Bezpečnostní situace se v IT mění velice rychle, stejně tak způsoby a povaha potenciálních útoků. Zde doporučujeme opakování alespoň základních testů minimálně jednou ročně.

  6. Bezpečnost a ochrana dat je jednou z oblastí, na něž se audity IT soustředí. Vnímáte v průběhu let nějakou změnu ve vnímání klientů?

    Jde o oblast, které v minulosti mnoho českých firem nepřikládalo příliš velkou váhu. To se obvykle změnilo teprve po prvním větším incidentu, ale to už bohužel často vznikly značné finanční škody a došlo ke snížení důvěry klientů. V poslední době se situace naštěstí hodně zlepšuje a dnes berou bezpečnost mnohem vážněji i střední a menší společnosti.

  7. Jak ovlivňuje datovou bezpečnost ve firmách rozmach virtualizace a cloud computingu?

    Virtualizace i cloud computing značně mění zaběhlé informační prostředí ve firmách a pro oddělení IT představuje zcela nové výzvy. Je potřeba si uvědomit, že i když si firma pořídí nějaký software nebo cloudovou službu od renomované společnosti, tak jí tento dodavatel negarantuje automatickou bezpečnost. Zvláště při budování hybridních systémů, kdy se některé prvky provozují v cloudu a jiné lokálně, je potřeba bezpečnosti věnovat velkou péči.

  8. Bezpečnostní audit nezahrnuje pouze datovou bezpečnost. Jaké další oblasti řeší?

    Těchto oblastí je celá řada. Může to být například testování zranitelností nebo penetrační testování. Při těchto testech se prověřuje odolnost informačních systémů proti potenciálním útočníkům z internetu nebo z lokální sítě. Běžně se provádí také audit fyzické bezpečnosti, při němž se prověřuje bezpečnost vstupu do objektů, datových center, serveroven apod. Pro správnou identifikaci nejrizikovějších oblastí a celkového zaměření auditu je vždy velice důležitý úvodní rozhovor s klientem.

  9. Jak jsou na tom české firmy z pohledu informační bezpečnosti v porovnání se zahraničím?

    Dříve české firmy této situaci nevěnovaly patřičnou pozornost, ale situace se rychle zlepšuje. Pomáhají nám také další nástroje, jako například zákon o kybernetické bezpečnosti.

  10. Proč by organizace pro audity měly využít služeb externího dodavatele a neřešit tuto potřebu vlastními silami?

    Některé testování jako například test zranitelností v režimu „black box“, kde se předpokládá minimální znalost útočníka o cíli, interně ani provést nelze. Přitom právě tyto testy často poskytnou velmi cenné informace o zranitelnostech, které může snadno využít libovolný útočník z internetu.

    Především u středních a menších společností bývá pak problémem i to, že obvykle nejsou schopny plně využít času a schopností vysoce kvalifikovaného bezpečnostního odborníka. Zaměstnávat ho by pro ně proto bylo neefektivní. Jejich situaci dobře rozumíme, proto jsme se rozhodli vyjít jim vstříc například outsourcingem bezpečnostních specialistů. Společnost potom může několik dnů v měsíci využívat know-how špičkového odborníka za zlomek nákladů, které by musela vynaložit na zaměstnání specialisty s obdobnou kvalifikací.

  11. Hodnotíte v rámci auditů pouze aktuální stav nebo je součástí též řešení zjištěných nedostatků?

    Nedílnou součástí každého auditu je i návrh opatření, která lze podniknout pro minimalizaci rizik. Velice často nás pak klienti oslovují i v realizační fázi, kdy jim doporučená opatření pomáháme uvádět do praxe.

  12. Jak dlouho se této oblasti ICS Praha věnuje?

    Náš první bezpečnostní audit jsme realizovali v roce 2003. Od té doby jsme pracovali na celé řadě zakázek různé velikosti a podařilo se nám shromáždit špičkové odborníky z této oblasti.

  13. Vaše zákazníky tvoří převážně firemní klientela. O koho se jedná?

    V případě auditů jde většinou o větší a střední společnosti z mnoha různých oblastí podnikání. V současnosti však pozorujeme zvýšený zájem i od menších společností.

  14. Můžete závěrem představit některý z vašich realizovaných projektů a zhodnotit stav získaný auditem in-formační infrastruktury?

    Představit konkrétní výsledky auditu bohužel nemůžeme, protože jde o vysoce citlivé informace určené pouze pro zadavatele auditu. V každé smlouvě s klientem se zavazujeme zachovávat o všech zjištěních naprostou mlčenlivost. Na přání ale zájemcům rádi ukážeme vzorové „slepé“ výstupy z auditů pro jednotlivé oblasti.

 

O expertovi

Jan Krátký se v oblasti informačních technologií a samotném vývoji pohybuje od roku 1996. Již více než čtrnáct let přitom vede divizi počítačových sítí společnosti ICS Praha. Jako IT konzultant pomáhá klientům nalézt optimální řešení zejména v oblastech zabezpečení, komunikace a projektového řízení. Rovněž je certifikovaným expertem na počítačové sítě využívající platformy Windows a Apple. V našem rozhovoru představuje IT audity jako významný nástroj nejen pro zjištění aktuálního stavu firemního hardwaru a softwaru.

Zažádejte si o „slepou“ studii auditu IT a bližší informace na kratky@icspraha.com.