Anda di halaman 1dari 4

Audit IT

Pagina 1 din 4

Audit IT
ce reprezinta auditul IT scopul auditului IT metodologia de audit (7 pasi) raportul de audit pasi de implementare corectii post audit

Ce reprezinta auditul IT Un principiu acceptat pe scar larg de management spune ca o activitate nu pot fi administrata si gestionata n cazul n care nu poate fi msurat. Auditul IT ofera aceasta masura a sistemului informatic din companie. Auditul IT reprezinta o analiza aprofundata a sistemului informatic din companie. Este un instrument foarte important pentru conducerea companiei, un instrument care evalueaza eficienta si eficacitatea utilizarii resurselor IT (hardware si software). Tehnologiile IT sunt intr-o permanenta dezvoltare, atat sistemele de securitate cat si modurile de atac sunt analizate si perfectionate zi de zi. Singura modalitate prin care o companie poate sa se puna la adapost prin implementarea celor mai bune practici in domeniu este realizarea unui audit al sistemului informational. Auditul IT trebuie sa fie realizat de catre o companie specializata, o companie independenta si in nici un caz nu poate fi facut de compania care a prestat servicii de implementare in sistemul informational. Auditul IT reprezinta un fel de asigurare ca lucrurile sunt pe cale cea buna si ca eventualele neconcordate vor fi analizate si eliminate si ca sistemul informational al companiei este in conformitate cu standardele de securitate, calitate, legislatie si sunt conforme cu directia in care compania isi desfasoara activitatea. In acceptiune generala, auditul IT reprezinta singura si cea mai buna modalitate pentru conducerea companiei de a se asigura ca tehnologiile de securitate i practicile utilizate sunt performante, n conformitate cu specificaiile stabilite i cerine. Scop auditului IT Auditarea structurii sistemului informatic in cadrul companiei necesita, in intregime, un nivel ridicat de analiza; vor fi analizate in mod deosebit integrarea aplicatiilor, sistemele, infrastructura si modul in care acestea afecteaza intregul sistem informatic al companiei dumneavoastra. - Identificarea si inlaturarea punctelor slabe ale sistemului informatic; - Minimizarea riscurilor la care este expusa compania; - Constientizarea asupra potentialelor riscuri pe care sistemul informatic actual le implica in dezvoltarea proiectelor si punctele critice unde trebuie intervenit pentru a indeparta aceste riscuri; - Utilizarea in conditii de siguranta a unei tehnologii dezvoltate de actualitate prin aplicarea unor politici de securitate care sa respecte conditiile specifice companiei dumneavoastra; Procesul de audit IT, ajuta companiile sa-si reduca costurile prin identificarea unor moduri mai eficiente de protectie hardware si software, permite o mai buna administrare cu privire la aplicarea i utilizarea de tehnologii de securitate i a proceselor. Ca rezultat al acestui audit, se va pune la dispozitie un set de sugestii referitoare la schimbarile

http://www.pchelp.ro/component/content/article/35-servicii-pchelp/65-audit-it?tmpl=co...

2/4/2012

Audit IT

Pagina 2 din 4

care trebuie facute in cadrul structurii sistemului informatic prezent. Metodologia de audit Raportul de audit are la baza chestionarea personalului IT cu scopul de a evalua si controla politicile si documentele actuale, analiza riscurilor pe care le prezinta statiile de lucru, serverele si intreaga retea precum si evaluarea serviciilor de retea si a fisierelor de configurare. Evaluarea va evidentia potentialele erori si/sau brese de securitate prezente in sistemul informatic. PASUL 1: 1. Intalniri, interviuri si observarea directa a personalului la sediile companiei; 2. Colectarea, centralizarea si revizuirea documentatiei actuale, verificarea licentelor programelor software instalate. Analiza tuturor politicilor IT care stau la baza functionarii intregului sistem (politici cu privire la termenii de utilizare a infrastructurii IT, politica cu privire la utilizarea internetului, a e-mail-ului, politica de backup, parole, accesul la resurse etc); 3. Analiza fluxului de documente in format electronic in cadrul companiei cat si in afara retelei cu parteneri externi (clienti si furnizori); PASUL 2: 4. Analiza cerintelor IT in cadrul companiei; 5. Evaluarea factorului uman in cadrul departamentului IT. Clasificarea personalului IT in functie de calificari si abilitati profesionale; 6. Evaluarea performantei in cadrul departamentului IT avand la baza masurarea timpilor in care acesta raspunde si solutioneaza eventualele incidente; PASUL 3: 7. Evaluarea si verificarea infrastructurii hardware (statii de lucru); 8. Evaluarea si verificarea infrastructurii software (aplicatii instalate, licente); 9. Evaluarea si verificarea serverelor in ceea ce priveste partea de hardware, software si trafic; PASUL 4: 10. Analiza sistemului IT in ceea ce priveste securitatea acestuia; 11. Analiza conectivitatii intre locatii cat si a celei cu exteriorul (locatii, conexiuni internet, canale VPN, acces remote); 12. Analiza topologiei retelei in locatii; PASUL 5: 13. Evaluarea personalului IT avand la baza metoda know-how (cunoasterea proceselor); posibilitatea instruirii unora dintre membrii personalului IT; 14. Verificarea aplicatiilor IT folosite pe scara larga in cadrul companiei; STEP. 6. 15. Verificarea procedurii de backup/restaurare; 16. Analiza planului de dezaster recovery; PASUL 7: 17. Analiza serviciilor de achizitie; 18. Analiza tehnologiilor IT utilizate in activitate; Raportul de audit Raportul de audit se va constitui din doua parti: - rezultatele evaluarii sistemului IT in prezent; - recomandarile noastre in urma analizei realizate in etapa de evaluare. In final, raportul de audit se va concretiza intr-un set de documente care prezinta o evaluare

http://www.pchelp.ro/component/content/article/35-servicii-pchelp/65-audit-it?tmpl=co...

2/4/2012

Audit IT

Pagina 3 din 4

obiectiva a sistemului IT, fapt ce permite implementarea tuturor masurilor necesare corectarii si inlaturarii potentialelor erori. Pasi de implementare post auditare Cel mai important rezultat al acestui audit va fi lista de vulnerabilitti descoperite. Pur i simplu a fi contieni de vulnerabiliti specifice cu care se confrunt compania dvs. este un pas bun spre elaborarea unui program cuprinztor pentru indepartarea acestor neajunsuri evitand astfel producerea unor disfunctionalitati in activitatea de zi cu zi. 1. Stabilirea prioritatilor In urma raportului de audit veti primi o mulime de informatii - de importanta diferita. Acestea vor avea alocat un nivel de risc. Punctele cele mai critice, desigur, se vor referi la sistemele cele mai critice, accesul public la reea sau ce implica transferul de date critice. 2. Atribuire roluri Este foarte important sa se decida cine va gestiona fiecare sarcin. Asigurai-v ca se vor aloca resursele necesare, cum ar fi buget si/sau timp pentru fiecare angajat pentru a realiza fiecare proiect. 3. Solicita rapoarte Dupa ce s-au atribuit roluri fiecarui individ implicat in procesul de corectii de punctelor slabe in urma auditului, dorii s v asigurai c proiectul este finalizat astfel cum s-a promis, si intr-un anumit termen limit. Trebuie solicitat un statut regulat, un raport, astfel nct s se prevada eventualele intrzieri sau probleme care apar. 4. Evaluri pe cont propriu Odat ce ai nceput corectiile oricaror gauri de securitate sau de reconfigurare ale echipamentelor, putei ncepe testarea corectiilor care au fost realizate. Inainte de a programa si a solicita un al doilea audit, trebuie sa va asigurati ca punctele slabe detectat in primul audit au fost corectate. Acest tip de abordare va va ajuta sa dezvoltati un plan de imbunatatire continua n companie. Dac se vor putea prezenta rapoarte de stare de management i daca se va menine un dialog permanent cu privire la statutul proiectelor, va demonstra c suntei pe partea de sus a oricrei probleme i s se justifice sprijin continuu pentru procesele de audit si corectii. 5. Programarea urmatorului audit IT Este rar pentru o companie pentru a reveni pentru un audit, al doilea, chiar dac ei nu au reuit primul. Cu toate acestea, companiile ar fi trebuit s aiba evaluri periodice. Domeniul de aplicare i frecvena "va depinde de cine esti si ceea ce faci". In mod ideal, noi recomandam ca o societate sa realizeze un audit pe sistemul informational la fiecare 6 luni. Deoarece sistemele de afaceri sunt mereu n cretere, n curs de dezvoltare i schimbare, procesul de audit IT poate fi vazut ca un control regulat pe sistemele dumneavoastr. Odat ce ai repara o problem, alta este probabil s apar, dar atta timp ct rulai evaluri regulate i de audit, iti poti imbunatati continuu sistemele de dumneavoastr. De aceea noi consideram ca procesul de analiza a sistemului informational trebuie sa fie unul continuu.

http://www.pchelp.ro/component/content/article/35-servicii-pchelp/65-audit-it?tmpl=co...

2/4/2012

Audit IT

Pagina 4 din 4

http://www.pchelp.ro/component/content/article/35-servicii-pchelp/65-audit-it?tmpl=co...

2/4/2012