Ochrona IT jest procesem ciągłym. Jego początkiem jest najczęściej ocena ryzyka operacyjnego, będącego wynikiem m.in… Nieprawidłowego funkcjonowania systemów IT, czynnika ludzkiego i nieadekwatnych mechanizmów kontroli wewnętrznej. Działania te są ściśle powiązane z polityką bezpieczeństwa, a przez nią określają cel, przyczynę i zakres ochrony zasobów, odpowiedzialność, technologię itp.

Właściwa ocena ryzyka jest procesem cyklicznym. Audyt bezpieczeństwa systemów informatycznych powinien dostarczać na każdy poziom organizacji (zarząd, administratorzy, osoby odpowiedzialne za bezpieczeństwo) najbardziej aktualnych danych na temat:

• zgodności konfiguracji środowiska IT z przyjętą polityką bezpieczeństwa;
• szacowania poziomu bezpieczeństwa w odniesieniu do aktualnych i przyszłych zagrożeń;
• monitorowania zmian systemów.

Rozwiązanie służące do wykonywania audytu bezpieczeństwa powinno wyróżniać się następującymi cechami:

• centralne sprawdzenie zgodności systemu IT z przyjętą polityką bezpieczeństwa;
• ciągłe monitorowanie stanu i zmian poziomu bezpieczeństwa;
• wykrywanie słabych punktów i podawanie sposobu ich usunięcia;
• dostosowanie do struktury i procedur wewnątrz firmy;
• regularne uaktualnianie definicji podatności;
• zgodność z przyjętymi normami (np. ISO 17799:2000);
• testowanie wszystkich głównych platform.

Ocena podatności na zagrożenia bezpieczeństwa (VA - Vulnerability Assessment) jest niezbędnym elementem efektywnej ochrony informacji. Służy do oceny stanu bezpieczeństwa danej organizacji przez porównanie bieżącego stanu z pożądanym poziomem bezpieczeństwa. Obejmuje: projektowanie, opracowanie i sprawdzenie zasad polityki bezpieczeństwa, procedury, standardy i wiarygodność ochrony informacji w ramach infrastruktury informatycznej. Ocena podatności dotyczy takich zagadnień, jak testowe penetrowanie sieci, pozwalające na spojrzenie na stan bezpieczeństwa z punktu widzenia potencjalnego intruza oraz bardziej szczegółowe skanowanie lub ocenę specyficznych obszarów.

Produkty i usługi VA są stosowane do określenia zgodności stosowanej technologii z zestawem reguł polityki ustanowionej w ramach organizacji, obejmującej różnorodne hosty i sieci funkcjonujące w organizacji. Głównym zagrożeniem, z jakim spotyka się większość organizacji, jest brak spójnych ustawień konfiguracyjnych wdrażanych i używanych w ramach całej organizacji. Problem ten jest pochodną trudności w określeniu pełnego obrazu błędów i niespójności oraz zaprezentowaniu takiego obrazu w sposób zapewniający efektywne działania zmierzające do usunięcia problemu.

Zautomatyzowane narzędzia są jedynym praktycznym sposobem na tworzenie odpowiedniego poziomu bezpieczeństwa i monitorowania, czy poziom ten jest gwarantowany. Są używane do wykrywania słabych punktów bezpieczeństwa i wyprzedzającego zarządzania ryzykiem, które może zagrażać codziennym operacjom biznesowym. Przed oceną zagrożeń koniecznym elementem jest przeprowadzenie wyczerpującej oceny ryzyka infrastruktury IT i określenie dopuszczalnego poziomu takiego ryzyka.

Zobacz także

• Audyt systemów ochrony
• Ciągłość działania i dyspozycyjność (Business Continuity and Availability)
• ILM Cykl życia informacji
• Ocena bezpieczeństwa sieci
• Strategia ochrony informacji
• Wzmocniony system operacyjny
• Zapory ogniowe w nowej roli - ochrona aplikacji
• Zarządzanie cyklem życia informacji
• Zarządzanie incydentami