Na czym polega audyt informatyczny?
Audyt informatyczny jest to skomplikowany i czasami wielostopniowy proces kontroli, który sprawdza, czy dany system teleinformatyczny spełnia wszystkie swoje zadania w sposób prawidłowy. W ramach audytu sprawdzane są nie tylko kwestie takie jak sposoby przechowywania i udostępniania informacji, a także ich bezpieczeństwo, ale również kwestie na meta poziomie, czyli na przykład to, w jaki sposób rejestrowane i rozwiązywane są problemy.
Najważniejsze zadania i przebieg audytu
Jak już wspomniano audyt informatyczny może się składać z wielu elementów. Jednym z nich jest odpowiedź na pytanie, czy system mu podlegający w pełni spełnia swoje funkcje. Należy przez to rozumieć odpowiedź na pytanie, czy jest on w pełni dostosowany do potrzeb instytucji, w której jest wykorzystywany. Ważnym aspektem jest również to, czy systemy takie utrzymują integralność przechowywanych danych i czy informacje, które są przez nie generowane odpowiadają całkowicie owym danym. Istotnym celem audytu jest również sprawdzenie tego, czy system pracuje z uwzględnieniem oszczędności zasobów. Jednak jednym z najważniejszych jego zadań jest zbadanie kwestii bezpieczeństwa, to znaczy tego, czy przechowywane dane są odpowiednio zabezpieczone. Audyt taki może być dość skomplikowanym zadaniem i w jego realizacji pomaga zastosowanie odpowiednich list kontrolnych.
Czy testy penetracyjne mogą być elementem audytu?
Pozostaje pytanie o to czy zastosowanie specyficznego narzędzia, jakim jest test penetracyjny może wchodzić w skład audytu. Tak w rzeczywistości jest, choć tego rodzaju zadania wykonywane są raczej rzadko. Poprawne wykonanie testów penetracyjnych wymaga ogromnej wiedzy i umiejętności, a co za tym idzie wymaga zaangażowania osobnych specjalistów. To, czy testy takie będą elementem audytu, zależeć może od wyników oceny ryzyka. Jest to porównanie skutków wystąpienia danej sytuacji (w tym przypadku jest to utrata danych) z prawdopodobieństwem jej wystąpienia. Przy ryzyku oszacowanym jako wysokie, wykonanie w ramach audytu również testów zabezpieczeń wydaje się rozsądnym rozwiązaniem – pwc.pl.