Firmy si uvědomují rizika spojená s bezpečností a většina z nich má nějakou formu zabezpečení ICT implementovánu. Jak však z(a)jistit, zda je zabezpečení IT firmy na dostatečné úrovni? Nechcete-li čekat na skutečný bezpečnostní incident, je jedinou správnou odpovědí BEZPEČNOSTNÍ AUDIT ICT. Co to je?

V obecné rovině jde o nezávislé ujištění o tom, zda jsou informační bezpečnost v organizaci a bezpečnostní charakteristiky systémů nastaveny v souladu s akceptovanou dobrou praxí a/nebo v souladu s platnou legislativou.

V praxi se však můžete o čemkoliv ujistit mnoha různými způsoby, proto když se svěříte strýčku Googlovi, jak se dnes běžně dělá, vychrlí na Vás spoustu firem nabízejících Bezpečnostní audit ICT. Ovšem nedá se říci, že by nabízely to samé. Pod tento pojem se totiž vejde leccos - od prostého nalezení zranitelností po komplexní posouzení systému řízení bezpečnosti informací. Pojem „Bezpečnostní audit ICT“ totiž není kodifikován, alespoň ne v tom smyslu, že by se laická i odborná veřejnost shodla na jediném výkladu tohoto pojmu. Kolik firem, tolik výkladů. Možná by se dal „Bezpečnostní audit ICT“ přirovnat ke švýcarskému noži. Každá firma nabízející bezpečnostní audit ICT ho používá, ale některá jen jeden z jeho nástrojů, některá více a některá všechny.

Autorovi tohoto článku je sympatický následující postup:

  1. Stanovme si jasný cíl bezpečnostního auditu ICT.
  2. Zvolme nástroj, jehož pomocí dosáhneme tohoto cíle nejefektivněji (konzervu lze otevřít nožem, ba i pilkou, ale otvírákem na konzervy to bude nejrychlejší)

Ze stanovení cílů pak vyplývá i základní typologie „Bezpečnostních auditů ICT“, které můžeme dělit na:

  • Procesní (cílem je ověřit, zda procesy zajišťující bezpečnost ICT ve firmě jsou nastaveny správně)
  • Technické (cílem je ověřit, zda bezpečnostní charakteristiky ICT systémů jsou nastaveny správně)

 

Obě hlavní větve ICT auditů se nám pak rozpadají dle zaměření a míry detailu, na které se zaměřují, takže například můžeme narazit na tyto typy auditů

V oblasti procesů:

  • Audit ISMS
  • Audit Incident response procesů
  • Audit Bezpečnostní politiky
  • Audit Disaster Recovery a Business Continuity plánů

V oblasti technické:

  • Audit stavu hardwaru a softwaru
  • Audit konfigurace firewallu, serverů, stanic, Wi-Fi sítí
  • Audit vzdálených přístupů
  • Audit bezpečnosti e-mailových řešení
  • Audit zabezpečení mobilních zařízení
  • Audit Antimalwarové ochrany

Speciálním typem ověření bezpečnosti ICT systémů jsou penetrační testy. Už slyším teoretiky hlásat, že penetrační test rozhodně, ale rozhodně, není bezpečnostní audit, ale kdo Vám dá lepší nezávislé ujištění o tom, zda jsou informační bezpečnost v organizaci a bezpečnostní charakteristiky systémů nastaveny správně, než to, že skutečně odolají (simulovanému) útoku. Pokud vím, tak nic.  Pokud se v průběhu penetračních testů dostanou testeři k chráněným informacím, je něco špatně bez ohledu na to kolik certifikátů o správně vedeném ISMS máte.

Penetrační testy se také dělí na podkategorie, jako jsou:

  • Externí penetrační testy
  • Interní penetrační testy
  • Penetrační testy webových aplikací
  • Penetrační testy mobilních aplikací
  • Penetrační testy mobilních sítí

Co můžete od jednotlivých typů Bezpečnostních auditů ICT očekávat? Jak probíhají? Jaký je jejich přínos? To Vám prozradíme v dalších dílech našeho miniseriálu.

Je to moc detailní? Možná ano, ale pomněte, že ďábel (i ten bezpečnostní) se skrývá v detailu. Proto vytrvejte.

Závěrem tedy shrňme: Bezpečnostní audit ICT je nezávislé ujištění o tom, zda máte bezpečnostní charakteristiky svých systémů nastaveny „správně“.  Slovem správně myslíme tak, aby byly schopny odolat známým (ideálně i budoucím) bezpečnostním hrozbám. Měl by se provádět jak na úrovni zavedeného systému bezpečnosti informací (globální pohled), tak na úrovni jeho jednotlivých komponent (procesů, sítí, aplikací, síťových prvků) (detailní pohled).

Získáme ujištění o tom, jak jsou námi provozované ICT systémy (a data/informace jenž zpracovávají) (ne)zabezpečeny.

A není to zbytečné, když se nám ještě nikdy nic nestalo?  Není!  Na technickou prohlídku svého vozu také chodíte, i když Vám brzdy ani airbagy ještě nikdy neselhaly. Právě proto, aby tomu tak bylo i v budoucnu.

 Použité zkratky

 Zkratka

 Vysvětlení

 ICT

 Information and Communication Technology – Informační a komunikační  technologie

 ISMS

 Information Security Management System – Systém řízení informační bezpečností

 

Luboš Číž - odborník na kybernetickou bezpečnost ze společnosti DCIT, kde zastává pozici Senior konzultanta.