categorie
...

Verifica dei sistemi di informazione. Minacce alla sicurezza delle informazioni. Tecnologia dell'informazione

L'audit dei sistemi di informazione fornisce dati pertinenti e accurati sul funzionamento dell'IP. Sulla base dei dati ottenuti, è possibile pianificare attività per migliorare l'efficienza dell'azienda. La pratica di condurre un audit di un sistema informativo consiste nel confrontare lo standard, la situazione reale. Studiano le norme, gli standard, i regolamenti e le pratiche applicabili in altre aziende. Quando conduce un audit, un imprenditore ottiene un'idea di come la sua azienda differisce da una normale azienda di successo in un'area simile.

Vista generale

La tecnologia dell'informazione nel mondo moderno è estremamente sviluppata. È difficile immaginare un'impresa che non ha sistemi di informazione in servizio:

  • globale;
  • locale.

È attraverso l'IP che un'azienda può funzionare normalmente e tenere il passo con i tempi. Tali metodologie sono necessarie per uno scambio rapido e completo di informazioni con l'ambiente, che consente all'azienda di adattarsi ai cambiamenti delle infrastrutture e alle esigenze del mercato. I sistemi di informazione devono soddisfare una serie di requisiti che cambiano nel tempo (vengono introdotti nuovi sviluppi, vengono introdotti standard, applicati algoritmi aggiornati). In ogni caso, la tecnologia informatica ti consente di rendere rapido l'accesso alle risorse e questo problema viene risolto tramite IP. Inoltre, i sistemi moderni:

  • scalabile;
  • flessibile;
  • affidabile;
  • sicura.

I compiti principali dell'audit dei sistemi di informazione sono identificare se l'IP implementato soddisfa i parametri specificati.

audit dei sistemi di informazione

Audit: tipi

Molto spesso utilizzato è il cosiddetto audit di processo del sistema informativo. Esempio: esperti esterni analizzano i sistemi implementati per differenze rispetto agli standard, incluso lo studio del processo di produzione, il cui output è un software.

Un audit può essere condotto allo scopo di identificare in che modo il sistema informativo viene utilizzato correttamente nel lavoro. La pratica dell'impresa viene confrontata con gli standard del produttore e con esempi ben noti di società internazionali.

Una verifica del sistema di sicurezza delle informazioni di un'azienda influisce sulla struttura organizzativa. Lo scopo di tale evento è quello di trovare punti deboli nello staff del dipartimento IT e identificare i problemi, nonché formulare raccomandazioni per la loro soluzione.

Infine, l'audit del sistema di sicurezza delle informazioni è finalizzato al controllo di qualità. Quindi gli esperti invitati valutano lo stato dei processi all'interno dell'azienda, testano il sistema informativo implementato e traggono alcune conclusioni sulle informazioni ricevute. In genere, viene utilizzato il modello TMMI.

Obiettivi dell'audit

Un audit strategico sullo stato dei sistemi di informazione consente di identificare i punti deboli nel PI implementato e identificare dove l'uso della tecnologia è stato inefficace. All'uscita di tale processo, il cliente avrà raccomandazioni per eliminare le carenze.

Un audit consente di valutare quanto sarà costoso apportare modifiche alla struttura attuale e quanto tempo ci vorrà. Gli specialisti che studiano l'attuale struttura delle informazioni dell'azienda ti aiuteranno a scegliere gli strumenti per implementare il programma di miglioramento, tenendo conto delle caratteristiche dell'azienda. Sulla base dei risultati, puoi anche dare una valutazione accurata di quante risorse l'azienda ha bisogno.Saranno analizzate la produzione intellettuale, monetaria.

misure

L'audit interno dei sistemi di informazione comprende l'implementazione di attività quali:

  • Inventario IT;
  • identificazione del carico sulle strutture informative;
  • valutazione delle statistiche, dati ottenuti durante l'inventario;
  • Determinare se i requisiti dell'azienda e le capacità dell'IP implementato
  • generazione di report;
  • sviluppo di raccomandazioni;
  • formalizzazione del fondo NSI.

Risultato dell'audit

Un audit strategico dello stato dei sistemi di informazione è una procedura che: consente di identificare i motivi della mancanza di efficacia del sistema di informazione implementato; prevedere il comportamento dell'IP durante la regolazione dei flussi di informazioni (numero di utenti, volume di dati); fornire soluzioni informate che contribuiscano ad aumentare la produttività (acquisizione di attrezzature, miglioramento del sistema implementato, sostituzione); fornire raccomandazioni volte a migliorare la produttività dei dipartimenti aziendali, ottimizzando gli investimenti in tecnologia. E anche per sviluppare misure che migliorino il livello di qualità del servizio dei sistemi di informazione.

Questo è importante!

Non esiste un IP universale adatto a qualsiasi impresa. Esistono due basi comuni sulla base delle quali è possibile creare un sistema unico per i requisiti di una determinata impresa:

  • 1C.
  • Oracle.

Ma ricorda che questa è solo la base, non di più. Tutti i miglioramenti per rendere un business efficace, è necessario programmare, tenendo conto delle caratteristiche di una determinata impresa. Sicuramente dovrai inserire le funzioni precedentemente mancanti e disabilitare quelle fornite dall'assemblaggio di base. La moderna tecnologia per il controllo dei sistemi di informazione bancaria aiuta a capire esattamente quali caratteristiche dovrebbe avere un IP e quali devono essere escluse in modo che il sistema aziendale sia ottimale, efficiente, ma non troppo "pesante".

audit strategico dello stato dei sistemi di informazione

Controllo della sicurezza delle informazioni

Un'analisi per identificare le minacce alla sicurezza delle informazioni può essere di due tipi:

  • aspetto;
  • interno.

Il primo prevede una procedura unica. Organizzato dal suo capo dell'azienda. Si raccomanda di praticare regolarmente tale misura al fine di mantenere la situazione sotto controllo. Un certo numero di società per azioni e organizzazioni finanziarie hanno introdotto un requisito per l'implementazione di un audit esterno sulla sicurezza IT.

Interno: si tratta di attività regolarmente condotte regolate dall'atto normativo locale "Regolamento sulla revisione interna". Per l'incontro viene elaborato un piano annuale (preparato dal dipartimento responsabile dell'audit), afferma l'amministratore delegato, un altro dirigente. Audit IT: diverse categorie di eventi, l'audit di sicurezza non è l'ultimo di importanza.

obiettivi

L'obiettivo principale dell'audit dei sistemi di informazione in termini di sicurezza è identificare i rischi relativi alla PI associati alle minacce alla sicurezza. Inoltre, gli eventi aiutano a identificare:

  • punti deboli dell'attuale sistema;
  • conformità del sistema agli standard di sicurezza delle informazioni;
  • livello di sicurezza al momento attuale.

Nel condurre un audit di sicurezza, saranno formulate raccomandazioni che miglioreranno le soluzioni attuali e ne introdurranno di nuove, rendendo l'attuale IP più sicuro e protetto da varie minacce.

minacce alla sicurezza

Se viene condotto un audit interno per identificare le minacce alla sicurezza delle informazioni, viene inoltre considerato:

  • politica di sicurezza, capacità di sviluppare nuovi documenti e altri documenti che proteggono i dati e ne semplificano l'applicazione nel processo di produzione della società;
  • la formazione di compiti di sicurezza per i dipendenti del dipartimento IT;
  • analisi di situazioni che comportano violazioni;
  • formazione degli utenti del sistema aziendale, personale di manutenzione sugli aspetti generali della sicurezza.

Revisione interna: caratteristiche

Le attività elencate che sono impostate per i dipendenti quando conducono un audit interno dei sistemi di informazione, in sostanza, non sono audit. Teoricamente condurre eventi solo come esperto valuta i meccanismi con cui il sistema è sicuro. La persona coinvolta nel compito diventa un partecipante attivo al processo e perde indipendenza, non può più valutare obiettivamente la situazione e controllarla.

D'altra parte, in pratica, in un audit interno, è quasi impossibile stare alla larga. Il fatto è che per svolgere il lavoro è coinvolto uno specialista dell'azienda, altre volte impegnato in altri compiti in un campo simile. Ciò significa che il revisore è lo stesso dipendente che ha la competenza per risolvere i compiti sopra menzionati. Pertanto, devi scendere a compromessi: a scapito dell'obiettività, coinvolgi il dipendente nella pratica per ottenere un risultato degno.

Controllo di sicurezza: passaggi

Questi sono in molti modi simili ai passaggi di un audit IT generale. distinti:

  • inizio degli eventi;
  • raccolta di una base per analisi;
  • analisi;
  • formazione di conclusioni;
  • dichiarazioni.

Avvio di una procedura

Una verifica dei sistemi informativi in ​​termini di sicurezza inizia quando il capo dell'azienda dà il via libera, poiché i capi sono le persone più interessate a un'efficace verifica dell'impresa. Un audit non è possibile se la direzione non supporta la procedura.

L'audit dei sistemi di informazione è generalmente complesso. Coinvolge il revisore e diverse persone che rappresentano diversi dipartimenti dell'azienda. La collaborazione di tutti i partecipanti all'audit è importante. Quando si avvia un audit, è importante prestare attenzione ai seguenti punti:

  • doveri documentativi, diritti del revisore contabile;
  • preparazione, approvazione del piano di audit;
  • documentare il fatto che i dipendenti sono tenuti a fornire tutta l'assistenza possibile al revisore e a fornire tutti i dati da lui richiesti.

Già al momento dell'avvio dell'audit, è importante stabilire fino a che punto viene effettuato l'audit dei sistemi di informazione. Mentre alcuni sottosistemi IP sono critici e richiedono un'attenzione speciale, altri non lo sono e non sono abbastanza importanti, pertanto la loro esclusione è consentita. Sicuramente ci saranno tali sottosistemi, la cui verifica sarà impossibile, poiché tutte le informazioni ivi memorizzate sono riservate.

Piano e confini

Prima di iniziare il lavoro, viene formato un elenco di risorse che dovrebbero essere controllate. Può essere:

  • informazioni;
  • software;
  • tecnica.

Identificano su quali siti viene condotta la verifica, su quali minacce viene controllato il sistema. Esistono limiti organizzativi dell'evento, aspetti di sicurezza che sono obbligatori da prendere in considerazione durante l'audit. Viene formata una valutazione di priorità che indica l'ambito della revisione. Tali confini, così come il piano d'azione, sono approvati dal Direttore Generale, ma sono preliminarmente presentati dal tema dell'assemblea generale di lavoro, dove sono presenti capi dipartimento, revisore contabile e dirigenti della società.

Recupero dei dati

Quando si esegue un audit di sicurezza, gli standard per l'auditing dei sistemi di informazione sono tali che la fase di raccolta delle informazioni è la più lunga e laboriosa. Di norma, l'IP non ha documentazione per esso e il revisore è costretto a lavorare a stretto contatto con numerosi colleghi.

Affinché le conclusioni tratte siano competenti, il revisore deve ricevere un massimo di dati. Il revisore apprende come è organizzato il sistema informativo, come funziona e in quali condizioni si trova dalla documentazione organizzativa, amministrativa, tecnica, nel corso della ricerca indipendente e dell'applicazione di software specializzato.

Documenti richiesti nel lavoro del revisore:

  • struttura organizzativa dei dipartimenti al servizio della PI;
  • struttura organizzativa di tutti gli utenti.

Il revisore intervista i dipendenti, identificando:

  • prestatore;
  • proprietario dei dati;
  • dati dell'utente.

scopo del controllo dei sistemi informativi

Per fare questo, devi sapere:

  • principali tipi di applicazioni IP;
  • numero, tipi di utenti;
  • servizi forniti agli utenti.

Se la società dispone di documenti su IP dall'elenco seguente, è necessario fornirli al revisore:

  • descrizione delle metodologie tecniche;
  • Descrizione dei metodi per l'automazione delle funzioni;
  • diagrammi funzionali;
  • lavoro, documenti di progetto.

Identificazione della struttura IP

Per una corretta conclusione, il revisore deve avere la massima comprensione delle caratteristiche del sistema informativo implementato nell'azienda. Devi sapere quali sono i meccanismi di sicurezza, come sono distribuiti nel sistema per livelli. Per fare questo, scopri:

  • la presenza e le caratteristiche dei componenti del sistema utilizzato;
  • funzioni componenti;
  • qualità grafica;
  • ingressi;
  • interazione con vari oggetti (esterni, interni) e protocolli, canali per questo;
  • piattaforme applicate al sistema.

I vantaggi porteranno schemi:

  • strutturale;
  • flussi di dati.

strutture:

  • strutture tecniche;
  • software;
  • supporto informativo;
  • componenti strutturali.

In pratica, molti dei documenti vengono preparati direttamente durante l'audit. Le informazioni possono essere analizzate solo quando si raccoglie la massima quantità di informazioni.

Audit di sicurezza IP: analisi

Esistono diverse tecniche utilizzate per analizzare i dati ottenuti. La scelta a favore di uno specifico si basa sulle preferenze personali del revisore e sulle specifiche di un determinato compito.

standard di audit del sistema informativo

L'approccio più complesso prevede l'analisi dei rischi. Per il sistema informativo, si formano requisiti di sicurezza. Si basano sulle caratteristiche di un particolare sistema e del suo ambiente, nonché sulle minacce inerenti a questo ambiente. Gli analisti concordano sul fatto che questo approccio richiede i maggiori costi del lavoro e la massima qualifica del revisore. Quanto sarà buono il risultato sarà determinato dalla metodologia per analizzare le informazioni e l'applicabilità delle opzioni selezionate al tipo di IP.

Un'opzione più pratica è ricorrere a standard di sicurezza per i dati. Questi sono un insieme di requisiti. Questo è adatto a vari IP, poiché la metodologia è sviluppata sulla base delle più grandi aziende di diversi paesi.

Dagli standard segue quali sono i requisiti di sicurezza, a seconda del livello di protezione del sistema e della sua affiliazione a un determinato istituto. Molto dipende dallo scopo dell'IP. Il compito principale del revisore è determinare correttamente quale serie di requisiti di sicurezza è rilevante in un determinato caso. Scegli una tecnica con cui valutano se i parametri di sistema esistenti sono conformi agli standard. La tecnologia è abbastanza semplice, affidabile e quindi diffusa. Con piccoli investimenti, il risultato può essere conclusioni accurate.

Trascurare è inaccettabile!

La pratica dimostra che molti manager, in particolare le piccole imprese, così come quelli le cui società operano da molto tempo e non cercano di padroneggiare tutte le ultime tecnologie, sono piuttosto incuranti dell'audit dei sistemi informativi perché semplicemente non comprendono l'importanza di questa misura. Di solito, solo i danni all'azienda inducono le autorità a prendere misure per verificare, identificare i rischi e proteggere l'impresa. Altri si trovano di fronte al fatto che rubano informazioni sui clienti, altri perdono dai database delle controparti o lasciano informazioni sui vantaggi chiave di una determinata entità. I consumatori non si fidano più dell'azienda non appena il caso viene reso pubblico e l'azienda subisce più danni della semplice perdita di dati.

tecnologia dell'informazione

Se esiste una possibilità di perdita di informazioni, è impossibile costruire un business efficace che abbia buone opportunità ora e in futuro. Qualsiasi azienda dispone di dati utili a terzi e devono essere protetti. Affinché la protezione sia al massimo livello, è necessario un audit per identificare i punti deboli. Deve tener conto degli standard internazionali, delle metodologie, degli ultimi sviluppi.

All'audit:

  • valutare il livello di protezione;
  • analizzare le tecnologie applicate;
  • adeguare i documenti di sicurezza;
  • simulare situazioni di rischio in cui è possibile la perdita di dati;
  • raccomandare l'implementazione di soluzioni per eliminare le vulnerabilità.

Conduci questi eventi in tre modi:

  • attiva;
  • esperto;
  • Identificare le norme pertinenti.

Moduli di audit

Il controllo attivo comporta la valutazione del sistema che un potenziale hacker sta osservando. Il suo punto di vista è che i revisori "provano" se stessi - studiano la protezione della rete, per la quale usano software specializzati e tecniche uniche. È inoltre richiesto un audit interno, condotto anche dal punto di vista del presunto colpevole che vuole rubare dati o interrompere il sistema.

tecnologia per il controllo dei sistemi di informazione bancaria

Un audit di esperti verifica se il sistema implementato è l'ideale. Quando si identifica la conformità agli standard, viene presa come base una descrizione astratta degli standard con cui viene confrontato l'oggetto esistente.

conclusione

L'audit condotto in modo corretto e qualitativo consente di ottenere i seguenti risultati:

  • minimizzare la probabilità di un attacco hacker di successo, danni da esso;
  • l'eccezione di un attacco basato su una modifica dell'architettura di sistema e dei flussi di informazioni;
  • assicurazione come mezzo per ridurre i rischi;
  • minimizzazione del rischio a un livello in cui si può essere completamente ignorati.


Aggiungi un commento
×
×
Sei sicuro di voler eliminare il commento?
cancellare
×
Motivo del reclamo

La ragazza ha cercato di non spendere soldi per un mese. L'esperimento ha lasciato i suoi sentimenti contrastanti

affari

Storie di successo

attrezzatura