December 21, 2016

Audit de securitate IT

Auditul IT este examinarea si evaluarea tehnologiei informatiilor si a infrastructurii, politicilor si a operatiunilor unei organizatii. Auditul IT determina daca protocoalele de securitate sunt conforme pentru protejarea bunurilor companiei, asigura integritatea datelor si sunt aliniate cu obiectivele generale ale organizatiei.

Obiectivele serviciului propus sunt urmatoarele:

Sistemele de auditare IT si Diagnoza, analizeaza sistemele informatice si includ toate activitatile de analiza si planificare strategica specifice:

  • Specificatii tehnice de sistem,
  • Evaluarea proceselor si derularea proiectelor,
  • Dezvoltare si customizare de software,
  • Diagnoza si evaluarea bazelor de date,

Procesele specifice ciclului de viata ale:

  • programelor,
  • ale aplicatiilor informatice,
  • platformelor si portalurilor inclusiv recomandari in ceea ce priveste imbunatatirea sistemelor.

 

Constatarile in urma analizei evidentiaza punctele tari si punctele slabe ale sistemului informatic si mentioneaza aspectele care trebuie remediate. Pe baza acestora se formuleaza recomandari privind perfectionarea structurii de procese, controale, proceduri IT existente sisteme informatice si aplicatii informatice ce pot imbunatati activiteatea organizatiei si pot duce la cresterea gradului de indeplinire al obiectivelor scontate.

Principalele constatari, concluzii si recomandari formulate pe parcursul indeplinirii contractului sunt sintetizate si sunt inaintate conducerii companiei, constituind Livrabilul contractului.

Pentru a atinge acest obiectiv este necesara planificarea strategica a sistemelor informatice ce cuprinde cel putin urmatoarele activitati:

  1. – Identificarea si înlaturarea punctelor slabe ale sistemului informatic;
  2. – Minimizarea riscurilor la care este expusa entitatea;
  3. – Constientizarea asupra potentialelor riscuri pe care sistemul informatic actual le implica în dezvoltarea proiectelor si punctele critice unde trebuie intervenit pentru a indeparta aceste riscuri;
  4. – Utilizarea în conditii de siguranta a unei tehnologii de actualitate prin aplicarea unor politici de securitate care sa respecte conditiile specifice entitatii.

 

Pachetul de servicii care duce la elaborarea analizei strategice si a planificarii sistemelor tehnologice, contine urmatoarele activitati:

  • Analiza tuturor politicilor informatice care stau la baza functionarii intregului sistem, cu privire la : termenii de utilizare a infrastructurii informatice, utilizarea internetului, a e-mail-ului, backup, parole, accesul la resurse etc.
  • Analiza fluxului de documente in format electronic in cadrul entitatii cat si in afara retelei cu parteneri externi,
  • Analiza cerintelor sistemului informatic in cadrul entitatii;
  • Analiza sistemului informatic in ceea ce priveste securitatea acestuia,
  • Analiza conectivitatii intre locatii cat si a celei cu exteriorul : locatii, conexiuni internet, canale VPN, acces remote
  • Analiza topologiei retelelor in locatii;
  • Analiza si planificarea strategica a planului sistemului informatic de dezastre (recovery),
  • Analiza si planificarea strategica a serviciilor de achizitie,
  • Analiza si planificarea strategica a tehnologiilor informatice utilizate in activitate.
  • Analiza si diagnoza tuturor fluxurilor informatice din institute
  • Propuneri privind procesul de management informational cu respectarea procedurilor interne operationale existente conform OSGG 400/2014 sau 2015 privind controlul managerial intern
  • Propuneri de posibile proiecte si /sau activitati de optimizare a fluxurilor informatice recomandari de surse de finantare in afara Programului Operational Competitivitate POC 51 Programul Operational Capital Liman POCA *
  • Propunerea unui standard de casare al documentelor la nivel de organizatie, in completa conformitate cu prevederile legale actuale, care sa poata sa fie adoptat ca norma interna/procedura
  • Propuneri de interoperablitate, de imbunatiatire a managementului documentelor

  De asemenea se va proceda la verificarea urmatoarelor :

  1. – infrastructurii hardware, statii de lucru,
  2. – infrastructurii software, aplicatii instalate, licente,
  3. – serverelor in ceea ce priveste partea de hardware, software si trafic;
  4. – verificarea aplicatiilor sistemului informatic folosite pe scara larga in cadrul entitatii, procedurilor sistemului informatic de backup / restaurare;

 Livrabilul  se va constitui din doua parti :

  1. – rezultatele evaluarii sistemului informatic in prezent;
  2. – recomandarile si strategia in urma analizei realizate în etapa de evaluare.  

Beneficiile clientului

Obtinerea unui diagnostic periodic al starii sistemului IT din punct de vedere al securitatii informatiei care va lua in considerare:

  • punctele critice ale sistemului si ale implementarii acestuia, din punct de vedere al arhitecturii aplicatiei, al implementarii sistemului, al accesului la nivel de utilizator.
  • identificarea vulnerabilitatilor, evidentierea si confirmarea amenintarilor asociate si elaborarea de recomandari specifice pentru inlaturarea sau reducerea riscurilor de securitate asociate.
  • Reduce costurile IT, permitandu-va sa va planificati cheltuielile IT.
  • Asigura conformitatea software-ului, oferindu-va liniste sufleteasca in ceea ce aveti si ceea ce utilizati.

Factori critici de succes

In cadrul fiecareia dintre etapele detaliate in continuare, specialistii vor avea nevoie de asistenta sustinuta a specialistilor locali relevanta pentru:

  • Identificarea unor scenarii / roluri corespunzatoare utilizatorilor din sistem
  • Autorizarea conform rolurilor de utilizator al aplicatiei
  • Facilitarea contactului cu furnizorul de servicii de Internet pentru desfasurarea testelor din exteriorul perimetrului;

Procedurile si tehnicile utilizate in auditul sistemelor informatice au fost dezvoltate utilizand  standardele:

  • Information Systems Audit and Control Association – ISACA
  • British Standards Institution – BSI
  • Control Objectives for Information and Related Technology – COBIT

Serviciile oferite urmeaza metodologiile unor prestigioase institutii ca ISACA – Information Systems Audit and Control Association, British Standards Institution si EC Council – promotorul certificarii Certified Ethical Hacker (CEH), Mile2 – promotorul certificarii Certified Penetration Testing Consultant CPT(C), OWASP Foudation – dezvoltatorul cadrului Open Web Application Security Project si ISECOM – detinatorul cadrului OSSTMM, oferind o garantie in plus pentru valoarea rezultatelor.

Top