Průvodce ICT auditem

„Udělejte pánům kávu,“ poručí asistentce CEO společnosti Reynholm Industries po příchodu finančních auditorů, načež s klidem Angličana nonšalantně otevře okno a sounož vyskočí z třiadvacátého patra korporátního věžáku. Tento skeč ze seriálu IT Crowd nejen spolehlivě rozvibruje bránici, ale typicky suchým britským způsobem poukazuje na klišé auditorů jako nemilosrdných katů. Na následujících řádcích se vám proto pokusíme objasnit, že kvůli ICT auditu nemusíte mít sebevražedné tendence. Namísto sankcí vám naopak může spoustu peněz ušetřit. Přečtěte si jak.
Informační technologie
Průvodce ICT auditem

Digitalizace a digitální transformace už v současné době není ani tak nějakým progresivním trendem, jako spíš nutností, jak obstát v záplavě konkurence a stále náročnějších požadavků vašich zákazníků (viz náš poslední článek o digitální transformaci podniku). ICT technologie dokáží bezesporu zvýšit výkonnost a efektivitu firemních procesů – a „ve finále“ ušetřit nemalé množství nákladů. V ideálním případě. Jak se říká, šedivá je teorie, zelený strom života – v praxi se tak vaše ICT řešení může stát i zdrojem problémů, které dokáží ochromit celou firmu, a to procesně, i finančně.

Chci nezávaznou nabídku ICT auditu

Společnosti, které už se s nějakým kybernetickým útokem potýkaly, potom uvádí, že největším nebezpečím je ztráta dat. Pokud jde o citlivá nebo osobní data, škody rostou o další ztráty – při odcizení nebo poškození dat obsahujících osobní údaje hrozí sankce ze strany Úřadu na ochranu osobních údajů. Ten může uložit pokutu až do teoretické astronomické výše 600 milionů (obvykle se však pohybuje okolo 4 % ročního obratu společnosti). Nebezpečí přitom nehrozí jen zvenčí.

→ Tip: Mohlo by vás zajímat, že každý čtvrtý zaměstnanec ohrožuje firemní data.

Výpadky IT systémů jsou mnohdy způsobené zvýšenou složitostí ICT infrastruktury a vzájemné závislosti systémů. Přitom platí, že bezpečnostní požadavky musí být zabudované do každé vrstvy ICT infrastruktury. Jakýkoliv výpadek důležitých ICT technologií, nebo dokonce narušení bezpečnosti spojené s únikem dat, může mít vážné dopady nejen na firemní workflow a produktivitu vašeho podnikání – negativně se promítne i na důvěře vašich obchodních partnerů a zákazníků.

Jedním z nástrojů, pomocí kterého zajistíte bezpečný a plynulý chod vaší firemní ICT infrastruktury, jsou právě audity ICT.

→ Tip: Přečtěte si, jak může výpadek IT systémů ohrozit vaše podnikání.

 

Co je ICT audit?

Pracuje vaše ICT řešení optimálně? Nemá vaše kybernetická bezpečnost kritická místa? Není vaše ICT infrastruktura už příliš zastaralá? Budou informace poskytované podnikovým ICT řešením vždy přesné, spolehlivé a včasné? Budou informace v počítačových systémech dostupné jen a pouze oprávněným uživatelům? Odpovědi na všechny tyto otázky – a spousty dalších – přináší ICT audit. O co jde?

ICT audit se začal provádět už od 60. let 20. století – pochopitelně od té doby prodělal s ohledem na technologický pokrok celou řadu změn, jádro však zůstává v zásadě stejné. Jde o proces, resp. soubor procesů, které zkoumají a hodnotí stav podnikové ICT infrastruktury z hlediska provozu, zásad, bezpečnostních politik organizace a dalších aspektů. V obecné rovině pokrývá širokou škálu softwarových aplikací, bezpečnostních systémů, operačních systémů a dalšího. Cílem a smyslem auditu je ověření, zda je podnikové ICT řešení:

  • odolné vůči procesním či systémovým chybám,
  • chráněné vůči jakýmkoli vnitřním i vnějším útokům,
  • schopné udržovat integritu dat a zajišťovat ochranu duševního vlastnictví
  • a zda je v souladu s cíli a záměry organizace.

Hlavní funkcí auditu ICT technologií je vyhodnotit, jestli podniky a organizace dokáží chránit svá informační aktiva a správně poskytovat informace oprávněným stranám. Z tohoto pohledu se ICT audity zaměřují na následující tři klíčové oblasti:

  • Integrita dat – míra garance, že dochází ke změnám dat pouze autorizovaným způsobem.
  • Dostupnost – míra spolehlivosti a dostupnosti ICT infrastruktury oprávněným uživatelům.
  • Důvěryhodnost – zajištění, že jsou citlivá data ochráněná před neoprávněnými osobami.

Výsledek ICT auditu závisí na jeho typu, rozsahu a zaměření (viz dále). Obecně lze konstatovat, že se jedná o zhodnocení současného stavu stávajícího podnikového ICT řešení. Na základě daného zhodnocení následují doporučení prioritizovaná dle kritičnosti a nutnosti vyřešit nalezené nedostatky (kritické). Další doporučení – dle méně kritických hledisek – potom směřují spíše do oblastí zlepšení, inovací a optimalizace procesů i ICT infrastruktury.

→ Tip: Přečtěte si více v článku Audit ICT – co si pod ním představit?

Chci nezávaznou nabídku ICT auditu

ICT audit a jeho formy

Jak už jsme popsali, mezi hlavní cíle ICT auditů patří vyhodnocení stavu dostupnosti vašich firemních systémů, bezpečnosti a důvěrnosti zpracovávaných informací a vyhodnocení, zda je ICT řešení vaší organizace aktuální, spolehlivé a bezpečné. ICT audity lze rozlišovat zejména z procesního nebo technického hlediska. Z procesního hlediska definujeme tři základní typy auditů:

  • Audit technologické pozice – ověřuje stav ICT technologií, které organizace buďto aktuálně využívá, nebo které potřebuje doplit.
  • Srovnávací audit z hlediska inovací – jde o analýzu inovačních schopností společnosti ve srovnání s hlavními konkurenty.
  • Audit procesu inovování ICT technologií – posuzuje délku a hloubku zkušeností společnosti s vybranými ICT technologiemi a dále její přítomnost na relevantních trzích.

Z technického hlediska a hlediska rozsahu auditu potom rozlišujeme následující typy, které se zaměřují a kontrolují pouze dílčí části vašeho ICT řešení:

  • Aplikační a systémový audit – zaměřuje se na ověření aktuálnosti, spolehlivosti a bezpečnosti vašich systémů a aplikací, a to na všech systémových úrovních. Cílem tohoto typu ICT auditu je ověření, zda jsou systémy a aplikace vaší organizace vhodné, účinné a přiměřeně kontrolované, aby zajistily platný, spolehlivý, včasný a bezpečný vstup, zpracování a výstup na všech úrovních činnosti systému.
  • Informační audit – ověřuje, zda firemní procesy a informační flow funguje správně a spolehlivě, a to za běžného provozu, i během incidentních událostí. Smyslem je zkontrolovat, jestli je zajištěné včasné, přesné a efektivní zpracování žádostí za normálních i potenciálně nebezpečných podmínek.
  • Audit podnikové infrastruktury – zjišťuje, zda je vaše IT řešení bezpečné, v pořádku a efektivní z hlediska firemních procesů.
  • Síťový audit – kontroluje veškerou digitální komunikaci, ověřuje technický stav konfigurace a zabezpečení jednotlivých prvků vaší ICT infrastruktury (spadají sem tedy firewally, servery, Wi-Fi, koncové stanice ad.).
  • Bezpečnostní audit – jde o audit zaměřený na kybernetickou bezpečnost. Zahrnuje například testy zranitelností (vulnerability scan), penetrační testování a další bezpečnostní testy.

→ Tip: Věděli jste, že pomocí penetračních testů získáte etické hackery na svoji stranu?

Komplexní ICT audit

Jde o unikátní ICT službu, která poskytuje ucelený pohled na celé IT hned z několika desítek měřitelných hledisek a oblastí (plánování, akvizice, provoz, zlepšování, zabezpečení ad.). Komplexní ICT audit umožňuje hodnocení jednotlivých oblastí dle metodiky CMMI (Capatibility Maturity Model Integration) a vychází z všeobecně přijímaných standardů (COBIT, ISO27001, ITIL). Navíc umožňuje vytvoření solidního základu pro opakovatelné analýzy, audity a tvorbu detailních metodologií.

Smyslem komplexního ICT auditu je poskytnout detailní odpovědi na následující otázky:

  • Řídíte ve vaší organizaci ICT jako jednotný celek ve všech jeho aspektech?
  • Jaká je úroveň vašeho ICT?
  • Probíhá v pořádku komunikace s dodavatelem či odběratelem?
  • Splňujete všechny zákonné a regulatorní požadavky?

→ Tip: Přečtěte si, zda upřednostnit provoz ICT infrastruktury, nebo její kybernetickou bezpečnost.

 

Principy auditu ICT

Jak poznáte, že ICT audit probíhá takzvaně „de lege“, tedy v souladu s „best practices“? Měl by odrážet následující zásady:

  • Důkladnost – ICT audit se provádí pečlivě a s ohledem na určitý minimální standard.
  • Finanční kontext – audit se musí provádět vždy s ohledem na finanční kontext, často se vykonává v rámci statutárního auditu účetní závěrky.
  • Aktuálnost – systémy by se měly kontrolovat s ohledem na jejich potenciální náchylnost k chybám a slabinám, a to na základě srovnávací funkční analýzy s podobnými aktuálními systémy.
  • Perspektiva – ICT audit by měl vedle popisu zjištěných zranitelností přinést rovněž popis inovačních příležitostí a rozvoje potenciálů.
  • Objektivita – pokud se při ICT auditu používá AI, může dojít k nezamýšlenému zkreslení výsledků. AI nemusí porozumět specifickým situacím a kontextům, v nichž se určité údaje očekávají nebo neočekávají.
  • Odbornost – AI nástroje se začínají stávat nedílnou součástí ICT auditů, např. při analýze dat. Auditoři tak musí o to více prokazovat svoji odbornost, znalost a zkušenosti, aby dokázali rozpoznat chyby ve výstupech z AI nástrojů.

→ Tip: Přečtěte si, jak posílíte ochranu firemních dat v rámci vaší ICT infrastruktury.

Chci nezávaznou nabídku ICT auditu

Průběh ICT auditu

Průběh auditu se může lišit podle konkrétních auditorů, typicky se ale skládá z těchto 4 fází:

  1. Nastavení a plánování – provádí se předběžné základní posouzení a shromažďování potřebných informací a podkladů. Zejména by se mělo definovat provozní prostředí, struktura společnosti a použitý software a hardware.
  2. Definování rozsahu a cíle – cíl ICT auditu se odvíjí od jeho typu (viz výše). Jeho rozsah by však měl zahrnovat hodnocení, dobu trvání, místa a oblasti, které má daný audit pokrýt.
  3. Průběh a sběr dat – audit by měl optimálně probíhat tak, aby nenarušil běžné fungování společnosti a firemní procesy. Auditor by měl sbírat pouze relevantní data, která podpoří nálezy uvedené v závěrečné zprávě.
  4. Analýza a reporting – auditor zpracuje podrobnou analýzu a závěrečnou zprávu, kde odprezentuje nalezená zjištění a současně navrhne doporučení a kroky k efektivní nápravě chyb a nedostatků.

Základním nástrojem ICT auditu je potom série rozhovorů s klíčovými IT manažery společnosti – na základě získaných odpovědí se v dalších iteracích formulují doplňující otázky. Poté se monitoruje celé ICT prostředí a postupuje od obecnějšího rámce ke specifičtější problematice. Stejně jako u finančních auditů se aplikuje princip tzv. „profesní skepse“ – všechny informace, které auditoři z rozhovorů získají, následně prakticky ověřují. Zde je nutné zdůraznit, že ICT auditoři jsou na vaší straně, i když mohou být svým způsobem „nepříjemní“. Těžiště jejich práce zpravidla spočívá v představení potenciálních bezpečnostních rizik a objektivních návrhů k jejich řešení.

→ Tip: Zajímá vás ultimátní prověření vaší IT bezpečnosti? Přečtěte si více o redteamingu.

Dále se během ICT auditů vychází z předložené dokumentace – protokolů, evidencí nebo zápisů, ale i záznamů konfigurace nebo kontroly, jak funguje administrativní rutina. Jak už jsme zmínili, roli v ICT auditu hraje v současné době i AI a automatizované nástroje, např. testy na uživatelská oprávnění nebo testy konfigurace systémů ICT infrastruktury.

 

Kdy je optimální provést ICT audit?

Kdy je tedy ten pravý čas pro vedení ICT auditu? Pokud jste žádný podobný audit dosud neprováděli, je to právě nyní! Ideálně byste měli ICT audit provádět pravidelně, abyste mohli srovnávat závěrečné zprávy z předchozích auditů – jednoduše tak odhalíte, zda došlo k efektivní nápravě zjištěných nesrovnalostí. Vzhledem k rostoucí komplexnosti ICT systémů, jejich potenciálním zranitelnostem a vzrůstajícímu riziku i četnosti kybernetických útoků je IT audit nezbytným nástrojem pro každé podnikání.

Neváhejte nás kontaktovat – máme více než 25 let zkušeností se všemi aspekty IT: s provozem, bezpečností i architekturou, ICT audit tedy dokážeme zpracovat v unikátní šířce i hloubce. Jako jediní na českém trhu navíc poskytujeme komplexní IT audit pro ucelený pohled na celkové IT z 25 měřitelných hledisek a oblastí (plánování, akvizice, provoz, zlepšování, zabezpečení ad.). Získáte souhrn doporučení, která vás posunou dál a pomohou udržet krok s novými IT technologiemi a stoupajícími nároky na ně.

Řešení pro veřejný i komerční sektor

-
S námi už vám nikdo neohrozí data
-
S námi máte vždy IT náklady pod kontrolou
-
Dostupnost 24/7 a 100% zastupitelnost
-
Vstupní audit zdarma

Máte zájem o vyzkoušení nebo dotaz?

Máte-li nějaké dotazy, nechte nám na sebe kontakt. V pracovní době se vám nejpozději do 24 hodin ozveme. Pokud nemáte kontaktní formuláře rádi, kontaktujte nás na telefonním čísle: (+420) 270 002 811 nebo e-mailu: poptavky@totalservice.cz.
- Vaše data jsou chráněna.
Zaujal vás článek?
Sdílejte ho na sociálních sítích
<-- Zpět na blog
Jak rozjet vlastní byznys: 3 kroky pro začátek podnikání
<--
Předchozí článek
Jak rozjet vlastní byznys: 3 kroky pro začátek podnikání
Co vám přinese digitální transformace z byznysového pohledu
-->
Další článek
Co vám přinese digitální transformace z byznysového pohledu

Buďte s námi ve spojení

-
TOTAL SERVICE a.s.

Metropolitan Building
U Uranie 954/18
170 00 Praha 7
-

Obchodní divize

Technická divize
-

Help Desk:

helpdesk.totalservice.cz
-

Vzdálená podpora:

get.teamviewer.com/
totalservice
-

Recepce:
(+420) 270 002 811

-

Facebook
TOTAL SERVICE

Linkedin
TOTAL SERVICE

Užitečné stránky
Služby
O nás
Kontakt