Audyty IT

Dlaczego audyt legalności

Korzyści z przeprowadzenia audytu można ująć w kilku kategoriach:

• Oszczędności finansowe
  Sprawne zarządzanie oprogramowaniem pozwala stwierdzić, które programy są faktycznie potrzebne. Ponadto umożliwia uzyskanie dodatkowych oszczędności wynikających z korzystania z licencji zbiorczych, a także pozwala określić najbardziej efektywne sposoby użytkowania oprogramowania w całej instytucji.
   
• Usprawnienie pracy
  Podczas audytu partner SAM przeprowadza szkolenia dla pracowników , w celu podniesienia poziomu wiedzy w zakresie wykorzystania programów i ochrony własności intelektualnej oraz wpływu ich racjonalnego wykorzystywania na czas pracy i zasoby IT.
   
• Uzasadnienie inwestycji
  Zarządzanie oprogramowaniem ułatwia szacowanie korzyści wynikających z inwestycji w oprogramowanie, a także wskazywanie miejsc wymagających aktualizacji oprogramowania lub zakupu nowych programów.
   
• Bezpieczeństwo i pewność
  Audyt chroni przed ryzykiem płynącym z uzywania nielicencjonowanego oprogramowania. Wiedza o tym, jakie oprogramowanie zostało zainstalowane i gdzie się ono znajduje, pozwala skuteczniej je chronić. To z kolei oznacza wyższy poziom bezpieczeństwa całej firmy oraz pewność, że będzie ona funkcjonować prawidłowo.

Wieści o przeszukaniu policyjnym dotyczącym legalności oprogramowania w firmie, w której ujawniono nielegalne programy, rozprzestrzeniają się w błyskawicznie. Informacja ta dociera do większości jej klientów, czego naturalną konsekwencją jest spadek wiarygodności przedsiębiorstwa i utrata dobrego imienia wśród kontrahentów. Ponadto, niektóre firmy, w których znaleziono nielegalne oprogramowanie, były zmuszone czasowo zawiesić działalność, gdyż zostały pozbawione podstawowych narzędzi do pracy oraz dostępu do swej elektronicznej dokumentacji. Przerwa w obsłudze klientów często oznacza dla firmy ich bezpowrotną utratę. 

Fakty:

• wrzesień 2004: Komenda Wojewódzka Policji w Poznaniu
  Na terenie 3 województw i po przeszukaniu 4 dużych firm branży telekomunikacyjnej i architektoniczno-budowlanej zabezpieczyła 49 komputerów, w których zainstalowano 180 programów bez wymaganej prawem licencji. Szkody producentów oprogramowania zostały oszacowane na kwotę 1,2 miliona złotych.
• styczeń - marzec 2005: Policja w całym kraju
  19 mln zł - tyle warte było nielegalne oprogramowanie, zarekwirowane w ciągu pierwszych trzech miesięcy 2005 r. przez polską Policję. Policjanci w asyście przedstawicieli antypirackiej organizacji BSA przeprowadzili szereg kontroli w 54 firmach i 11 sklepach. Zabezpieczono 1478 nielegalnych płyt, 73 jednostki centralne i 22 twarde dyski.
  W podsumowującym pierwszy kwartał 2005 r. raporcie BSA wspomniana jest również sprawa pracowni architektonicznych, które często nielegalnie korzystają z drogiego profesjonalnego oprogramowania - np. Autocad firmy Autodesk. "O skali problemu świadczą ostatnie kwietniowe przeszukania policji w warszawskiej pracowni architektoniczno-projektowej, gdzie zabezpieczono 5 różnych wersji programu Autocad, wartych w sumie ponad 100 tysięcy złotych. Wartość wszystkich zabezpieczonych programów w tej firmie wyniosła natomiast ponad 200 000 złotych" - powiedział Bartłomiej Witucki, rzecznik BSA w Polsce.
• maj 2005: BSA ogłosiło wyniki światowego badania piractwa komputerowego
  W Polsce wskaźnik kradzieży własności intelektualnej wzrósł o 1% i wynosi obecnie 59%. Stawia to nasz kraj na drugim miejscu, tuż po Grecji (62%), wśród państw Unii Europejskiej pod względem używania nielegalnych kopii programów komputerowych. Mimo niewielkiego spadku średniego wskaźnika piractwa w 2004 r., światowy przemysł i gospodarka ponoszą coraz większe szkody. Od rządów poszczególnych krajów oczekuje się bardziej zdecydowanych działań.

Wyniki potwierdzają, że piractwo komputerowe jest nadal ogromnym problemem w krajach Unii Europejskiej, gdzie wskaźnik wyniósł 35%. W celu zmniejszenia skali problemu, ogromne znaczenie będzie miało szybkie i sprawne implementowanie dyrektywy UE (Enforcement Directive), przyjętej w kwietniu 2004 r. Dyrektywa, obecnie w fazie implementacji w wielu państwach UE, zapewnia nowe, sprawdzone w praktyce metody zwalczania piractwa i podróbek.
„Termin wprowadzenia dyrektywy w życie upływa za 12 miesięcy. Zachęcamy więc wszystkie rządy, aby już dziś zaczęły szukać sposobów udoskonalenia systemu ochrony praw własności intelektualnej” powiedziała Beth Scott, wiceprezes Business Software Alliance. „Najnowsze wyniki badań pokazują, że należy dołożyć wszelkich starań, aby obniżyć wskaźniki piractwa i cieszyć się wynikającymi z tego korzyściami”.

„Działania policji, kampanie edukacyjne i skuteczne prawo, powodując zmniejszenie skali piractwa intelektualnego, mogą przynieść wymierne korzyści w postaci 250 tys. nowych miejsc pracy oraz ponad 18 mld euro dodatkowych wpływów z podatków” - szacuje Wiceprezes BSA, Beth Scott.

Jak uniknąć naruszania prawa?

..czyli poradzić sobie z ewentualnym problemem nielegalnego oprogramowania w firmie?

Krok Pierwszy — KONTROLA SIECI
Zarząd oraz dział informatyki powinny sprawować pełną kontrolę nad danymi w firmowej sieci komputerowej.

Krok Drugi — INWENTARYZACJA OPROGRAMOWANIA
Ryzyko używania nielegalnego oprogramowania jest tym większe, im mniejsza wiedza o zasobach zgromadzonych w komputerach. Niezwykle istotne jest opracowanie spisu wszystkich programów zainstalowanych na firmowych komputerach, notebookach i serwerach, szczególnie w przypadku bezpośredniego dostępu pracowników do Internetu umożliwiającego im bez wiedzy administratora samodzielną instalację programów prosto z sieci. Należy też bezwzględnie przechowywać licencje na wszystkie zainstalowane programy.

Krok Trzeci — WERYFIKACJA LEGALNOŚCI OPROGRAMOWANIA
Najlepszym sposobem uzyskania wyczerpujących i aktualnych informacji o zainstalowanym w firmie programach jest audyt oprogramowania.

Krok Czwarty — POROZUMIENIE Z PRACOWNIKAMI
Warto zapoznać pracowników z zasadami użytkowania oprogramowania oraz podpisać porozumienia określające ich odpowiedzialność w zakresie przestrzegania ustalonych w firmie procedur dotyczących zasad używania oprogramowania (wzór porozumienia w załączniku).

 

Krok piąty — ODPOWIEDZIALNOŚĆ ZA OPROGRAMOWANIE
W większych firmach rozwiązaniem jest wyznaczenie osoby odpowiedzialnej za zakup programów, ich instalację oraz za nadzór nad zasobami oprogramowania. W mniejszych instalowanie programów najlepiej powierzyć jednej osobie lub działowi. Zaoszczędzi to niespodzianek (zwłaszcza tych przykrych) w przyszłości.

• ustalenie rodzajów i liczby programów zainstalowanych na poszczególnych stanowiskach komputerowych
• wyłonienie i usunięcie programów zbędnych, stanowiących dodatkowe obciążenie budżetu oraz firmowego systemu informatycznego
• ustalenie programów najczęściej używanych przez pracowników
• pomoc w ustanowieniu standardów oprogramowania w firmie, w której pracownicy używają różnych edytorów tekstu, arkuszy kalkulacyjnych itp.
• wskazanie, które komputery wykorzystywane są jako konsole do gier
• pomoc w sprawdzaniu bezpieczeństwa przechowywanych danych
• wskazywanie, czy na poszczególnych stanowiskach komputerowych  przechowywane są dane wymagające ochrony, które powinny być przechowywane na bezpiecznych serwerach

 Krótki test

Aby zorientować się, czy w firmowych komputerach zainstalowane są nielegalne kopie programów, warto odpowiedzieć sobie na pytania krótkiej ankiety.

1. Czy wiedzą Państwo, ile komputerów osobistych, notebooków i serwerów używa się obecnie w Państwa firmie?
   TAK NIE
2. Czy mają Państwo licencje na wszystkie programy zainstalowane na komputerach, notebookach i serwerach?
   TAK NIE
3. Czy są Państwo pewni, że żaden z pracowników Państwa firmy nie wykonał nielegalnych kopii oprogramowania?
   TAK NIE
4. Czy oprogramowanie zainstalowane w komputerach osobistych, notebookach i serwerach pochodzi z godnych zaufania źródeł?
   TAK NIE
5. Czy Państwa firma ma opracowane na piśmie zasady kopiowania oprogramowania i zakupu licencji na oprogramowanie?
   TAK NIE

 
Jeśli odpowiedź na którekolwiek z tych pytań brzmi „NIE” lub jeśli nie są Państwo pewni którejkolwiek z odpowiedzi, warto bardziej szczegółowo zbadać sytuację w Państwa firmie.
Ryzyko zwiększa się, jeśli Państwa przedsiębiorstwo czy instytucja kupiła oprogramowanie po niewiarygodnie okazyjnej cenie lub nabyła oprogramowanie przez Internet bez właściwej dokumentacji i dowodu zakupu.

Prawidłowe wykonanie audytu przez autoryzowanego Partnera MS przebiega w kilku etapach:

• Partner audytowy przeprowadza inwentaryzację oprogramowania:
   Ustala liczbę komputerów osobistych, laptopów i serwerów używanych w Twojej firmie i rodzaj oprogramowania zainstalowanego na poszczególnych urządzeniach. Porównuje te informacje z liczbą posiadanych przez Twoją firmę licencji w postaci raportu

• Partner audytowy pomaga w ustaleniu zasad postępowania i procedur dotyczących bieżącego zarządzania licencjami. Liczba zasad i procedur, które potrzebne będą w Twojej Firmie, może być różna. Ważne jednak jest, aby obejmowały one poszczegulne aspekty związane z zarządzaniem oprogramowaniem.
  Na tym etapie audytor przedstawia zalecenia, sugestie i rekomendacje.
   

Jasne zasady użytkowania oprogramowania, uprawniające do podjęcia odpowiednich działań - oświadczenie takie musi być zrozumiałe i zawierać powinno informacje o konsekwencjach niewłaściwego wykorzystywania firmowych zasobów oprogramowania. Zasady i procedury zaopatrywania - powinny one być proste i zrozumiałe dla wszystkich. Spisz zasady dotyczące zamawiania oprogramowania i odpowiedzialności za jego zakup, zaufanych dostawców oprogramowania, procedur instalowania, prywatnego użytkowania oprogramowania oraz rozporządzania oprogramowaniem.

Audyt bezpieczeństwa IT

Audyt bezpieczeństwa teleinformatycznego to przegląd i ocena polityki zabezpieczeń systemu informatycznego funkcjonującego w przedsiębiorstwie, oraz wskazanie rozwiązań.
Zapewnienie właściwego poziomu bezpieczeństwa systemów komputerowych zawsze było zadaniem trudnym, lecz dziś jest to już znaczący problem, bo konsekwencje złego ich zabezpieczenia mogą być wręcz niewymierne.

Dawno skończyły się czasy, kiedy trzeba było posiadać dużą wiedzę i spore możliwości sprzętowe, aby włamać do systemu informatycznego. W XXI wieku każdy haker-nastolatek jest w stanie znaleźć w sieci "dziurę" i zostawić po sobie mniej lub bardziej dotkliwy ślad włamania. A im bardziej skomplikowane są dzisiejsze systemy informatyczne, tym więcej sposobów na złamanie ich zabezpieczeń.

Zapoznając się z rodzajami zagrożeń płynącymi z sieci globalnej nie należy zapominać, że odrębny problem stanowią zagrożenia pochodzące z wewnątrz firmy. Te "lokalne" zagrożenia generują pracownicy firmy. Dlatego też tak ważnym elementem polityki bezpieczeństwa w każdej firmie powinny być jasno sprecyzowane zasady korzystania z sieci i szkolenia z zakresu ochrony informacji.

Powinieneś sprawdzić czy twoje dane są bezpieczne ?

Podstawowe korzyści z przeprowadzenia audytu bezpieczeństwa:

• Uzyskanie opinii niezależnego audytora na temat poziomu realizowanej polityki bezpieczeństwa
• Ograniczenie ryzyka odpowiedzialności karnej za umyślne lub nieumyślne ujawnienie danych osobowych podlegających ochronie
• Uzyskanie opinii niezależnego audytora na temat poziomu realizowanej polityki bezpieczeństwa
• Doradztwo w zakresie usprawnień polityki bezpieczeństwa
• Przygotowanie organizacji do spełnienia wymogów zarządzania bezpieczeństwem informacji w oparciu o normę PN-ISO/IEC-17799 oraz Rozporządzenie Prezesa Rady Ministrów z dnia 25 lutego 1999r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. (Dz. U. Nr 18, poz. 162)
• Wiarygodność dla kontrahentów
  
  

 Audyt bezpieczeństwa polega na:

• Praktycznym sprawdzeniu poziomu bezpieczeństwa w organizacji, 
• Identyfikacji słabych punktów w użytkowanych systemach i urządzeniach,
• Weryfikacji ochrony danych osobowych zgodnie z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz. U. Nr 133, poz. 883).
• Analizie potrzeb w zakresie zabezpieczenia systemu,
• Dostarczeniu informacji odnośnie przestrzegania norm i procedur bezpieczeństwa,
• Zbadaniu zgodności konfiguracji systemów z założeniami polityki bezpieczeństwa firmy (jeśli taką politykę dana firma posiada),
• Określeniu, jakie obszary systemu i jakie dane wymagają ochrony,
• Zapewnieniu wszelkich niezbędnych usług konsultingowo-doradczych w zakresie wdrożenia skutecznych systemów bezpieczeństwa.
• Podstawowe korzyści z przeprowadzenia audytu bezpieczeństwa:
• Uzyskanie opinii niezależnego audytora na temat poziomu realizowanej polityki bezpieczeństwa,
• Ograniczenie ryzyka odpowiedzialności karnej za umyślne lub nieumyślne ujawnienie danych osobowych podlegających ochronie,
• Doradztwo w zakresie usprawnień polityki bezpieczeństwa,
• Przygotowanie organizacji do spełnienia wymogów zarządzania bezpieczeństwem informacji w oparciu o normę PN-ISO/IEC-17799,
• Wiarygodność dla kontrahentów.
• Audyt będzie wykonany zgodnie z wybranymi wytycznymi normy PN-ISO/IEC-17799.

Audyt bezpieczeństwa ciągłości procesów biznesowych  ze względu na infrastrukturę teleinformatyczną.
 

Zakres audytu obejmuje weryfikację podatności infrastruktury teleinformatycznej na awarie sprzętowe i oprogramowania skutkujące paraliżem systemu, oraz poprawnością i skutecznością procedur awaryjnego odtwarzania danych, jak również eliminacji awarii.
W większości firm najbardziej uciążliwą sytuacją jest długotrwała niemożność korzystania z sprzętu i oprogramowania co skutkuje znacznymi stratami finansowymi. Celem audytu jest takie przygotowanie służb informatycznych i infrastruktury aby zagrożenia takie maksymalnie zminimalizować.
 

X-COM to jedna z wielu firm z wieloletnim doświadczeniem audytorskim i technicznym zapewniającym maksymalny profesjonalizm oferowanych usług zmierzających do skutecznego zabezpieczenia Państwa infrastruktury teleinformatycznej przed skutkami potencjalnych:  ataków hakerów, paraliżu systemu informatycznego spowodowanego awarią, sankcji za nieprzestrzeganie przepisów o ochronie danych niejawnych oraz ochronie danych osobowych, sankcji za posiadanie lub użytkowanie oprogramowania bez wymaganych licencji.

• Poświadczenia Agencji Bezpieczeństwa Wewnętrznego dostępu do danych niejawnych z klauzulą poufne i zastrzeżone
• Certyfikaty Microsoft Certified Professional
• Certyfikaty trenerów Microsoft
• Certyfikat administratora ds. bezpieczeństwa danych niejawnych wydany przez ABW
• Certyfikat inspektora ds. bezpieczeństwa danych niejawnych wydany przez ABW
• Certyfikaty Microsoft Licensing Specialist
• Ukończone specjalistyczne szkolenia z zakresu audytu bezpieczeństwa co potwierdzają posiadane certyfikaty, dyplomy i referencje

• Doświadczenie i profesjonalizm
• Poufność informacji w ramach umowy między partnerami
• Niezależność naszej firmy jako audytora zewnętrznego
• Pełny zakres pomocy technicznej i edukacyjnej

Bezpieczeństwo informatyczne to element, na którego brak nie może pozwolić sobie żadna szanująca się firma.

 Żródło : www.xc.com.pl