Audyt bezpieczeństwa IT

Każda organizacja chcąca przetrwać i konkurować z innymi firmami, musi inwestować w technologię informatyczną, która zapewnia dostępność, integralność i poufność danych. Epidemia COVID-19 i jej konsekwencje, udowadniają nam, że technologia jest nam potrzebna do życia niczym woda czy tlen. Liderzy odpowiedzialni za organizację muszą stawić czoła bardzo złożonym procesom, w tym informatycznym. Wraz ze wzrostem zagrożeń system informatyczny firmy może być narażony na potencjalne ryzyko. Jest to jeden z głównych powodów, dla których firmy coraz częściej inwestują w usługi audytu IT.

INFO_24_45.jpg

Czym jest audyt IT?

Audyt IT można zdefiniować podobnie jak każdy inny audyt, czyli jako „przegląd i ocenę systemów zautomatyzowanego przetwarzania informacji, powiązanych niezautomatyzowanych procesów oraz interfejsów między nimi”. Planowanie audytu IT obejmuje dwa główne etapy. Pierwszym krokiem jest zebranie informacji (scoping) na temat środowiska kontrolnego i zaplanowanie działań (design audit). Drugim krokiem jest zrozumienie istniejącej struktury kontroli wewnętrznej (walkthrough).

Coraz więcej organizacji przechodzi na podejście kontrol­ne, które oparte jest na ryzyku. Polega ono na stosownej ocenie ryzyka i pomaga audytorowi IT podjąć decyzję, czy podstawą jego działań będą prowadzone testy zgodności, czy wiarygodności, które są bardziej czasochłonne. W podejściu opartym na ryzyku audytorzy IT polegają na wewnętrznych i operacyjnych kontrolach, czyli na tzw. środowisku kontrolnym. Ten rodzaj decyzji dotyczącej oceny ryzyka może pomóc w powiązaniu analizy kosztów i korzyści kontroli ze znanym ryzykiem.

Na etapie zbierania informacji audytor IT powinien rozważyć następujące kwestie:

  • Znajomość badanej jednostki pod kątem środowiska kontroli. Do zadań audytora IT należy sprawdzenie, czy środowisko jest kontrolowalne, a wdrożone procedury kontrolne przestrzegane. Często w organizacjach brakuje spisanych procedur, a kontrola funkcjonuje intuicyjnie. Nie oznacza to jednak, że nie ma środowiska kontrolnego. Z taką sytuacją mamy często do czynienia w firmach rodzinnych, które rosną w szybkim tempie i krótkim czasie, a procedury za tym rozwojem nie nadążają. To do audytora należy ocenić, czy istnieje ryzyko przy badaniu kontroli.

Gdy audytor IT zgromadzi informacje i zrozumie istotę kontroli, jest gotowy do rozpoczęcia planowania lub wyboru obszarów do audytu. Kluczową informacją, która będzie potrzebna na początkowych etapach, jest bieżąca analiza wpływu luk w systemie IT na biznes, która pomoże wybrać aplikację o najbardziej krytycznej funkcji biznesowej. Ocena środowiska informatycznego wynika ze zrozumienia wewnętrznych procedur IT. Bez tego podstawowego zrozumienia prawdopodobne jest, że prace kontrolne zostaną źle ukierunkowane, co zwiększy ryzyko wyciągnięcia błędnych wniosków. Obszarami weryfikacji objętymi na tym etapie prac są najczęściej: zarządzanie zmianami, bezpieczeństwo oraz ciągłość działania i odzyskiwanie danych po awarii.

  • Analiza raportów z poprzednich audytów oraz informacji zwrotnej z wprowadzonych rekomendacji po poprzednim audycie. Do audytora należy ocena, czy wszystkie kwestie zidentyfikowane jako wysokie ryzyko zostały pokryte przez odbiorców obszaru audytowanego. Niektóre organizacje cedują te działania na działy operacyjne, które muszą odpowiadać przed komórką nadzorczą z tego, jak wywiązały się z ustaleń poaudytowych.
  • Ważne też, by audytor w swojej pracy uwzględniał nowe regulacje prawne i wytyczne. Obecnie jesteśmy świeżo po wprowadzeniu w polskim prawodawstwie regulacji Urzędu Ochrony Danych Osobowych, ale należy pamiętać, że nawet Komisja Nadzoru Finansowego publikuje wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Co prawda, są to wytyczne przeznaczone głównie dla instytucji finansowych, ale należy rozważać je także przez pryzmat własnej działalności.
  • Ocena ryzyka nieodłącznego. Każdy audytor musi też przyjąć założenie, że istnieje błąd, który może być istotny lub znaczący w połączeniu z innymi błędami napotkanymi podczas audytu, przy założeniu, że nie ma powiązanych kontroli kompensujących. Ryzyko nieodłączne, to ryzyko, które istnieje niezależnie od audytu i może wystąpić ze względu na charakter działalności.
  • Wymagane zasoby. Ostatnim ważnym elementem planowania audytu jest ocena nakładu pracy. Ponieważ termin i dostępność odpowiednich zasobów ludzkich do audytu IT zwykle stanowią wyzwanie, wykonanie tego kroku powinno przynieść lepszą jakość i niższe koszty audytu. Należy pamiętać, że audytor IT nie zawsze musi mieć pełną wiedzę na temat procesu. Często będzie musiał wspierać się wiedzą i doświadczeniem pracowników operacyjnych, którzy te procesy znają. Oczywiście każdy audytor musi zachować sceptycyzm, a ten dobrze wesprzeć profesjonalnym osądem.

Cele audytu IT

Najczęściej cele audytu IT koncentrują się na udowodnieniu, że kontrole wewnętrzne istnieją i działają zgodnie z oczekiwaniami, i rzeczywiście minimalizują ryzyko biznesowe. Te cele audytu obejmują zapewnienie zgodności z wymogami prawnymi i regulacyjnymi, a także poufność, integralność i dostępność systemów informatycznych i danych. Ale poza książkowymi ramami audytu IT jest jeszcze cel nadrzędny audytu. Ma dawać pewność, że działalność operacyjna oraz decyzje podejmowane przez zarząd są wolne od ryzyka wadliwego działania systemów informatycznych. Audyt IT nie polega jedynie na stwierdzeniu, czy wszystkie komputery oraz nośniki danych mają hasła i zainstalowane programy antywirusowe. Jest to skomplikowany proces kontrolny, który musi zagwarantować, że biznes będzie działał w niezmienionej postaci nawet wtedy, gdy gospodarka napotyka tzw. czarne łabędzie. Jesteśmy w chwili rewolucji myślenia o prowadzeniu własnej działalności. Najlepszym przykładem może być „wyjście” znanych marek z centrów handlowych i przeniesienie swojej działalności do e-commerce. Jeżeli taki kierunek biznesu się utrzyma, to audyt IT stanie się nie tylko niegdysiejszym „cichym klientem”, ale jednostką wsparcia, która będzie regulowała funkcjonowanie jednostki, od kontroli kart wejścia pracowników do pracy po kontrolowanie złożonych procesów wyjętych z długiego ciągu łańcucha dostaw.

Wykorzystałeś swój limit bezpłatnych treści

Pozostałe 60% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, albo wybierz plan abonamentowy.

Wybierz abonament już od 100 zł miesięcznie Pokaż abonament
Dwutygodniowy dostęp bez zobowiązań Wybieram

Abonament już od 100 zł miesięcznie

Dwutygodniowy dostęp bez zobowiązań

Pełen dostęp do wszystkich treści portalu
to koszt 100 zł miesięcznie
przy jednorazowej płatności za rok

WYBIERAM

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Pełen dostęp do wszystkich treści portalu
to koszt 100 zł miesięcznie
przy jednorazowej płatności za rok

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM