Vanjska IT revizija – nema 100% ispravne tvrtke?

Fotografija članka: Vanjska IT revizija – nema 100% ispravne tvrtke?

Vanjska IT revizija – nema 100% ispravne tvrtke?

Nakon provedene sigurnosne revizije od strane treće specijalizirane tvrtke ili osoba, suočavanje menadžmenta i voditelja IT odjela s vijestima kako tvrtka nije sigurna, čini se ponekad sramotno. Stručnjaci kažu da to nije neuobičajeno. Ne postoji tvrtka koja je prošla 100% reviziju. Također, dosta velikih tvrtki i organizacija, čak vladine agencije i državni trezori, propuštaju izvođenje polugodišnjih ili godišnjih revizije u cilju smanjenja troškova. Na taj način, imaju siromašne evidencija kada je u pitanju računalna sigurnost. Osim očite ironije, također se tu ukazuje na kompleksnost sigurnosti u velikim organizacijama. Popularne kompanije, banke uz Microsoft, Oracle, eBay, PayPal, su visokopozicionirani ciljevi za hakerske upade. Današnji hakeri su uglavnom preselili sloj, od napada na mreže u napad na web sloj. Realno gledajući, revizijski propusti koji se uočavaju, nisu mana već velika stvar. Svaki prostor u kojemu se tvrtka osjeća sigurnom treba poboljšati. U konačnici, odluka je na tvrtkama da li će uložiti dodatno vrijeme, napor i novac za provedbu poboljšanja. Ako i ne odluče da nešto učine po tome pitanju, barem će donijeti svjesnu odluku oko prihvaćanja rizika, nego da ništa ne znaju o mogućim rizicima.

Najvažniji rezultat IT revizije uvijek je popis povredivosti koje su vanjski revizori otkrili. Interni IT revizori, direktori informatike trebaju zajedno s management upoznati se sa tim specifičnim povredivostima unutar tvrtke. To je ujedno dobar korak za izradu daljnjih sveobuhvatnih sigurnosnih programa. Bez obzira na specifične ciljeve i vremenske okvire, propuste treba obraditi isključivo kao projekte: izrada plana, raspodjela resursa i postavljanju vremenskih okvira.

1. Prioriteti
Svi prikupljeni podatci dobiveni revizijom su važni. Ako vanjski revizori već nisu dodijelili razinu rizika za tvrtku, obaveza je internih IT revizora da zajedno s managementom odluče što je visok rizik, a što može pričekati. Praksa je ukazala da su najvažnija standardna kritična pitanja sustavi: javni pristup lokalnoj mreži ili uključivanje prijenosa kritičnih podataka. Nakon što se dodijele razine rizika, trebalo bi započeti planiranje internih rješenja. To uključuje duljinu trajanja dok se stvari ne poprave, odgovornost za nadgledanje itd.

2. Dodijela Recovery uloga
Obavezujuće je donošenje odluka o tome tko će upravljati pojedinim zadacima sigurnosnog projekta. Potrebno je uručiti rješenja koja se odnose na management, timove ili razvojne grupe. Kako bi bili sigurni da se svaka grupa slijedi planirani, dogovoreni put, potrebno je dodijeliti određene pojedinačne odgovornosti za određena rješenja. Dodatno, treba se pobrinuti za dodjelu potrebnih resursa kao što je proračun ili određivanje vremenika za ostvarenje projekta.

3. Zahtjevi statusnih izvještaja
Nakon što se dodjele uloge i krene se u implementaciju, potrebno je izvršiti provjeru uspješnosti pojedinih faza projekta. Redoviti izvještaji o pojedinim dijelovima sustava omogućavaju uvid u eventualne odgode i probleme koji nastaju u hodu.

4. Run Your Own stavovi
Kada započinje otklanjanje bilo kakvih sigurnosnih rupa ili rekonfiguracija sustava, paralelno se treba odvijati i testiranje učinjenoga : automatizirati skeniranja ili provesti interne penetracijske testove. Umjesto da se gleda svaki infrastrukturni segment kao zasebni dio projekta ili kao dio nečije druge odgovornosti prema dodijeljenim pojedinačnim zadacima, što je česti slučaj, poželjno bi bilo započeti razvijati program stalnog nadzora koji se uklapa u IT ciljeve i planove tvrtke. Ovaj tip programa ujedno će pomoći da se pokaže kontinuiranost poboljšanja te izgrađuje povjerenje u tvrtku i IT kadrove zadužene za sigurnost. Praksa je pokazala, da iz sebičnih razloga, neki interni IT revizori ili zbog nedovoljne edukacije, ne žele slijediti ove korake. Umjesto da govore o gorućim sigurnosnim pitanjima, pronalaze učinkovite zaštitne mjere, loptice svoga dijela odgovornosti prebacuju na druge. Oni će reći: ‘Ajmo sjesti kao profesionalci i razgovarati o tome kako se nositi s tim jer smo mi poduzeli sve…’, umjesto da kažu " Gdje smo pogriješili u našoj internoj IT reviziji i što smo predvidjeli…kako da to riješimo?"

5. Dogovor o drugoj revizorskoj tvrtci
Rijetkost je za tvrtke da nakon prvobitno izvršene revizije se obrate drugoj, za dodatnu reviziju. Međutim, kompanija bi trebala imati redovite IT sigurnosne procjene. Opseg i učestalost će zavisiti o djelatnosti tvrtke, propisanim zakonskim regulativama kao i internim odlukama. Optimalno bi bilo provođenje revizije svakih 6 mjeseci. Kako poslovni sustavi tvrtke rastu, razvijaju se i mijenjaju, a hakeri svakodnevno postaju sve sofistificiraniji, proces sigurnosne revizije mora se smatrati redovnom provjerom sustava svake tvrtke . Interni IT revizori ne bi smjeli svoju poziciju u tvrtkama smatrati kao odskočnom stepenicom da postanu dio managementa, jer za to su potrebne druga znanja i vještine, već se odgovorno, samosvjesno koncentrirati na sigurnost tvrtkinih sustava za što su i plaćeni.

Autor: Sanja Ledinek

Oglas
Oglas
Pretplatite se na BESPLATNE
Tjedni pregled najzanimljivijih tehnoloških informacija
Poveznica se otvara u novom prozoru
Sigurnosna provjera: Upišite rezultat  8+8=

KOMENTARI


Neprimjerene komentare, poveznice, reklamiranje/promoviranje i komentare koji tematski nisu vezani uz vijest odmah ćemo ukloniti.