IT átvilágítás – IT technológiák biztonsági vizsgálata

IT átvilágítás – mert cégének sikere IT rendszerén is múlik

Speciálisan az Ön cégére szabott informatikai rendszer a maximális hatékonyságért
Ön mit tenne, ha cégének teljes informatikai rendszere leállna? A vállalata túlélné a teljes információs vagyon elvesztését?
Nemzetközi statisztikák szerint abban az esetben, ha egy cég elveszíti információs vagyonát, a katasztrófa bekövetkeztét követő egy éven belül csődbe megy.
Legyen résen és kerülje el ezt a veszélyt!
Kérje ingyenes konzultációnkat most szakértő informatikusainkkal!

Az ügyviteli folyamatok egyre inkább automatizálódnak, a vállalatok részben vagy egészben az adatok, információk feldolgozásával foglalkoznak, mely ma már az informatika alkalmazásával történik.
Nemzetközi statisztikák szerint abban az esetben, ha egy cég elveszíti információs vagyonát, a katasztrófa bekövetkeztét követő egy éven belül csődbe megy.
A cégvezetők jellemzően a cégen belül dolgozó IT munkatársak szaktudásának segítségével próbálják megelőzni a fent említett probléma bekövetkeztét.
Viszont a számtalan negatív példa szerint még a legnagyobb informatikai vállalatoknál (Microsoft, Panda) sem elég magasan képzett szakértőkkel dolgozni, az eredményes megoldáshoz nélkülözhetetlen egy olyan csapat, amely mindamellett, hogy tisztában van a legújabb technológiával a folyamatos továbbképzéseknek köszönhetően, képes minden információt, amely a biztonsághoz szükséges, analizálni és minősíteni.
Több multinacionális cég külsős, szakmailag rendkívül jól képzett csapatot bíz meg IT rendszerfelügyelettel, valamint a biztonságtechnika megoldásával, mivel csak így őrizhető meg biztonságosan az információs vagyon.
Amennyiben nem elég hatékony az informatikai rendszere, vagy nem fedi le üzleti ügyviteli vagy gazdálkodói folyamatait, végeztessen el egy átfogó informatikai átvilágítást, ezzel jelentős költségeket takaríthat meg.
Az informatikai átvilágítás célja, hogy kiaknázza a rendszerében rejlő tartalékokat, feltárja a pazarló gazdálkodási pontokat, pénzt és időt takarítson meg. Ennek a folyamatnak az egyik terméke a jól definiált, átgondolt minden IT folyamatot átfogó szabályzat.

Kérje ingyenes konzultációnkat most szakértő informatikusainkkal!

Az IT átvilágítás folyamata

I. fázis, az információs rendszer felmérése

Az informatikai rendszer felmérésének célja, hogy a teljes IT rendszer működési szintjét emeljük, mind a biztonság, mind az üzemeltethetőség, mind a felhasználhatóság szempontjai szerint. Az audit során a biztonsági kérdéseké, valamint az üzemeltethetőségé a fő hangsúly, majd javaslatokat teszünk szem előtt tartva a folyamatok szabványosíthatóságát. Ahol bevezethető, ott eljárások, vagy szabályzatok formájában adunk választ a vizsgált problémára. A felmérés módszertana tartalmazza a számviteli törvény alkalmazhatóságát, valamint a könyvvizsgálat során szükséges szempont rendszer szerinti átvilágítást is.
Tovább bontva a folyamatot, az informatikai biztonság szintjének emelését két egymással összefüggő felmérés, átvilágítás során kell elvégezni.
Az egyik átvilágítás közvetlenül az informatikai (számítástechnikai) rendszer biztonsági szintjének javítását (IT audit, RDBMS audit…), míg a másik az informatikai eljárások szabványosítását célozza (archiválás, felhasználó-kezelés…). Ilyen módon a projekt időbeli lefutásával számos termék készül, illetve kerül átadásra (informatikai biztonsági szabályzat, elkészített szoftverek, bevezetett szoftverek).
Jelen dokumentum célja, hogy ismertesse az alkalmazandó módszertant, illetve áttekintse azokat a dokumentáció megjelenésű szakmai termékeket, amelyek az informatikai biztonsági projekt ideje alatt átadásra kerülnek.
Jelen felsorolásban kereskedelmi okokból kizárólag az elemzés egyes lépéseit, tevékenységeit foglaltuk össze.

Az információs rendszer (biztonsági) felmérése jellemzően az alábbi elemekből áll:
• Hálózatok (LAN WAN), IT átvilágítás
• Hálózati eszközök felmérése
• Műszaki eszközök felmérése
• Szerver operációs rendszerek átvizsgálása
• asztali operációs rendszerek felmérése
• adatbázisok, NAs, SAN stb. felmérése (részletesen külön fejezetben tárgyalva)
• Üzleti alkalmazások, egyedi programok felmérése
• Az alkalmazott internetes technológiák elemzése
• Biztonsági rendszer vizsgálata
• Üzemeltetési szokások, eljárások felmérése
• Alkalmazottak képzettségének felmérése
• Ellenőrzési, felülvizsgálati, felelősségi összefüggések vizsgálata
• Telephelyek, egyéb kapcsolatok, rendszerek felmérése
• Fenyegetettségi vizsgálatok, kockázatok vizsgálata
• Kár / érték felmérése

Kérje ingyenes konzultációnkat most szakértő informatikusainkkal!

Mivel minden felmérés egyedi, így bemutatunk két példát, amelyet az alábbi szempont rendszer szerint mértünk fel:

Elektronikus levelezés (E-mail) biztonsági vizsgálat
Első lépésben meghatározandó a levelező rendszer értéke a vállalkozás életében, a rendelkezésre állásának mértéke, és biztosítása.
Ezután a felmérés során azt vizsgáljuk meg, hogy az elektronikus levelezési szokások milyenek, és az e-mail-en keresztül mennyire támadható az Ön rendszere.
A sebezhetőségek felmérése során például az alábbi területeket vizsgáljuk részletesen:
• Saját domain nevek, IP címek, DNS beállítások
• operációs rendszer kapcsolati rétege a levelező szerverrel(ekkel)
• levelező rendszer beállított paraméterei, smarthostok,
• fenyegetettségi vizsgálatok
• vírusvédelem integritása, tartalom szabályozás,
• levelezés mentési beállítások, visszaállíthatóság
• felhasználók képzettsége, ismerete
• részletes vizsgálat a használt jelszavakról és ezek hozzáférési rendszereiről
• távoli használat (OWA OMA)
• domain szűrés, magán levelezési szokások, jogok
• egyéb programok a levelezéshez kapcsolódoan,

Vezeték nélküli (wless) kommunkiciók biztonsági felülvizsgálata
Mivel a technológiák fejlődése elérte azt a szintet, hogy számos vállalkozásnak van vezeték nélküli kommunikációs megoldása, ezért szükségszerűen ezek biztonsági felülvizsgálatát is be kell iktatni az rendszer teljes IT átvilágítása, auditja során. Itt kifejezetten a wireless kommunikációs megoldásának biztonsági átvilágítására kerül sor. Az átvilágítás alkalmával helyzetfelmérést végzünk, amely során részletesen felmérjük az Ön wireless hálózati megoldásait, mind logikai, mind pedig fizikai megvalósítása tekintetében. A felmérést elemezve készítjük el a sebezhetőség-vizsgálatot, mely meghatározza, milyen technikai, vagy technológiai változtatásokat kell a rendszeren végezni, hogy az megfeleljen a biztonsági előírásoknak. A felmérés végén dokumentáljuk a sebezhetőségeket, illetve az változtatási lehetőségeket. Szükség szerint elvégezzük a felhasználók oktatását, betanítását is.

Kérje ingyenes konzultációnkat most szakértő informatikusainkkal!

Segítünk Önnek kiigazodni szoftverei jogállásai, leltározása és gazdálkodása terén. Az alábbi rövid összefoglalóban néhány szempontot mutatunk be:

Szoftver Licensz Kezelés és Gazdálkodás
A Számorgdata Kft felméri az Ön igényét, majd ez alapján elkészíti a szoftver leltárt, és a szoftver gazdálkodási szabályzatot. Így tud tanácsot adni szoftvergazdálkodást érintő kérdésekben.

Milyen előnyökre tesz szert Ön ezáltal:

• ismerni fogja vállalkozásának pontos leltár adatait
• kiolvashatja, hogy minden szoftvere jogtiszta, vagy ha nem: tudni fogja, hogy a szoftverei jogtiszta állapotának eléréséhez mit kell tennie
• mindent fog tudni a teljes vállalaton belül működő szoftver állományról
• segít értelmezni a szoftver licenszelési kérdéseket
• pénzt takarít meg önnek, a hatékonyabb gazdálkodási lehetőségekkel
• jobban kihasználhatja a már megvásárolt / liszenszelt stb. szoftvereket
• Költség elemzés = megtakarítás: teljes vállalati, illetve bármilyen részlegekre bontott informatikai elemzést, költségvetését, elszámolhatóságát és tervezhetőségét ad az Ön kezébe
• egyszerűsíti a legfrissebb javítások, kiegészítések telepítését a rendszerben
• áttekinthetővé válik a fejlesztési / beruházási döntéseknél a jogi, illetve a technológiai irányultság
• a már meglévő licensz konstrukciók elemzésével segít dönteni a jövőbeni kiválasztásoknál
• ügyviteli rendszerével könnyen, gyorsan összevethető, így ellenőrizhető a könyvelési feladatok helyesen, jogszerűen lettek-e végezve

Kérje ingyenes konzultációnkat most szakértő informatikusainkkal!

II. fázis, szabályzatok, dokumentációk elkészítése

Informatikai Biztonsági Szabályzatok elkészítése, vagy átvizsgálása

Gondolt már arra, hogy mennyi törvénynek, előírásnak kell megfelelnie egy szabályzatnak?
Elkészítjük illetve, ha már van, átvizsgáljuk, aktualizáljuk szabályzatát. Az általunk készített szabályzat a könyvvizsgálati szabályoknak is megfelel.
A könyvvizsgálók rendszeresen végeztetnek IT átvilágítást, ennek módszertanát is alkalmazva tudjuk a megfelelő dokumentációt elkészíteni a külső könyvvizsgáló szervezetek számára az Ön cégéről.
Ezeknek a szabályzatoknak az a célja, hogy felügyelhetően, kontrolálhatóan, visszakereshetően, a megfelelő módon történjen a vállalkozás keretein belül az informatikának a szabályozása.
További fontos célok, hogy mind az adatvédelem elvei, mind pedig az adatbiztonság követelményei érvényesülhessenek. Megakadályozhassuk a jogtalan hozzáféréseket, az adatok eltulajdonítását, megváltoztatását, esetleg nyilvánosságra hozatalát.
Kiemelkedően fontos az informatikai és biztonsági szabályzat, de akár ennek mellékleteként, akár külön kell szabályozni még pl. :
• rendszerindítás és felügyeleti leírást
• szoftver és hardver leltár készítését
• számítógépek és perifériák használatának általános szabályzatát
• mentési, archiválási szabályzatát
• állandóan karbantartott, frissített listát a cég hardver és szoftver erőforrásairól, ennek frissítési igényeiről, ütemezve, tervezhetően, kritikus pontok megjelölésével.

Ahhoz, hogy az informatikai átvilágítás teljes képet kapjon, ahhoz több felmérést el kell végeznünk, ezek rendre a következők:

• informatikai rendszer felmérése (mivel majd ebben szabályozzuk a számítógépek, perifériák, használatát és a különböző nyilvántartások meglétét), a hozzáférések, a működésfolytonosság, a szervezeti keretek és a szabályrendszerek felmérésre, kiegészítve a vállalkozás speciális helyzetéből adódó fontos feladatkörökre, azok elkülönítésére vonatkozó vizsgálatokra és ezek hozzáférési kontrollvizsgálataira
• hardver topológiának a felmérése, topográfiai felmérés, alapszoftverek felmérése • alkalmazások áttekintése és az alkalmazások részletes információ
• üzemeltetési kérdések, fejlesztéshez kapcsolódó kérdések, és az informatikai szervezet keret felmérése - hogyan is működik az adott vállalkozásnál ez. Pl.: (mentésekre, archiválásokra részletes leírást adunk, IT védelmi szintek betartására, a különböző lekérdezésekre, lekérdezhetőségre vonatkozó jogosultsági rendszert alakítunk ki, és a zavartalan üzemeltetésre akár a szünetmentesekre, akár a vírusvédelemre, akár az adatvédelem különböző rétegeire konkrét leírásokat tudunk adni).
• személyi jellegű jogkörök felmérése
• kritikus adatok meghatározása - mi a védelem tárgya, mit védünk és milyen eszközökkel, ki ezeknek a felelőse, és nagyon részletesen szabályozzuk a rendszergazda jogosultságát, felelősségét és feladatait • informatikai vezető jogainak megfogalmazása,annak ellenőrzése - különböző veszélyhelyzeteket, veszélyforrásokat is leírhatjuk, ill. az erre vonatkozó reakciókat
• információk osztályozása, csoportosítása - információkat kell osztályozni, összeszedni, szabályos rendbe szedni, hogy tudjuk, mire kell felkészülni, úgy mint környezeti védelmek, környezet okozta ártalmak és károk, szándékos károkozások, ill. nem szándékos károkozások. Vizsgáljuk még benne az adatok tartalmát, és a feldolgozás folyamatát érintő veszélyeket, ezekre is fel kell készíteni a rendszerünket
• vagyonvédelmi előírások meghatározása - akár tűzvédelmi előírásokkal együtt
• perifériák, kritikus szerverek hardvervédelme - az adathordozóink, adattáraink nyilvántartási rendszereinek védelme, azok selejtezési rendje, ill. azok feldolgozása, üzletileg kritikus ill. az üzletileg kevésbé kritikus folyamatok meghatározása, felhasználói programok védelme
• informatikai stratégia, a biztonságpolitika, a működésfolytonosság, dokumentáltság vizsgálata
Ahogy már említettük, a feladatkörök szétválasztása nagyon fontos, hiszen ezek alapján lehet aztán hozzáférési kontrollokat beállítani, és ezekre ellenőrzési módszereket bevezetni.
Adott vállalkozástól függően szükséges logikai kontrollokat, elemzéseket is lehet végezni, ill. különböző mélyebb vizsgálatoknál titkosítási, kriptográfiai felmérést is szükséges elvégezni.
Ezenkívül még változáskezelést is előírhatunk, ill. a kritikus folyamatok működésének folytonosságára vonatkozó különféle vizsgálatokat, amelyekkel meghatározható, hogy végül is egy cég üzletmenetének napi tevékenységére legkritikusabban jellemző ügyviteli folyamatokat hogyan lehet a legjobban biztosítani.

Kérje ingyenes konzultációnkat most szakértő informatikusainkkal!

III. fázis, bevezetés, oktatás

Most időt is nyerünk Önnek!
Fontos, hogy alkalmazzuk és betartassuk az elkészített, és jóváhagyott dokumentációkat, szabályzatokat! Ehhez meg kell értetni az alkalmazottakkal ezek fontosságát, és a folyamatokat be kell tanítani.
A vezetőknek nem kell az idejüket erre pazarolni, mert a felmért átvilágított folyamatokat mi leoktatjuk, betanítjuk, és felállítunk egy ellenőrzési szempont rendszert a betartásra is.
Természetesen a betanítási fázisban sok visszacsatolás érkezik, ezeket átvezetjük a rendszeren, és javítjuk a szükséges részeket, szabályzatokat.
Jellemzően lesznek nagyobb ellenállásba ütköző szabályok, ezek betartását a vezetés által szankcionált eszközökkel kell betartatni. A rendszer későbbi finom hangolására sok esetben az emberi tényezők miatt van szükség (leleményesség, harag, csakazértis, elbocsátás, hiúság, stb.). Ezek kezelése a vezetéssel közös feladat, a megoldást mi adjuk, és szükség szerint tovább szigorítjuk a rendszert.

Kérje ingyenes konzultációnkat most szakértő informatikusainkkal!