Ile kosztuje opracowanie dokumentacji RODO?

Listy kontrolne audytu kontroli ITGC

31/10/2022

Rating: 3.92 (8768 votes)

W dzisiejszym cyfrowym świecie, gdzie technologia informatyczna stanowi kręgosłup każdej organizacji, audyty IT stają się nieodzownym elementem zarządzania i bezpieczeństwa. Szczególnie istotne są audyty ITGC, czyli ogólne kontrole IT (ang. IT General Controls). Stanowią one fundament, na którym opiera się bezpieczeństwo i efektywność całej infrastruktury IT. Zanim zagłębimy się w szczegółowe audyty serwerów czy cyberbezpieczeństwa, warto rozpocząć od audytu ITGC, który dostarcza podstawowej oceny operacji i zdolności infrastruktury IT.

Ile kosztuje inspektor danych osobowych?
Średnio koszt zewnętrznego inspektora ochrony danych wynosi od 250 do 450 euro miesięcznie, w zależności od wymagań firmy.
Spis treści

Czym są listy kontrolne audytu kontroli ITGC?

Listy kontrolne audytu ITGC to usystematyzowane narzędzia, które pomagają audytorom w ocenie i weryfikacji skuteczności ogólnych kontroli IT w organizacji. Służą jako przewodnik, zapewniający kompleksowe i spójne podejście do audytu. Dzięki nim, audytorzy mogą systematycznie analizować kluczowe obszary kontroli IT, identyfikować potencjalne ryzyka i obszary wymagające poprawy. Audyt ITGC koncentruje się na kontrolach, które mają wpływ na wiele systemów i procesów IT, a nie tylko na konkretne aplikacje czy systemy.

Audyty ITGC są często przeprowadzane z naciskiem na ryzyko. Identyfikacja potencjalnych zagrożeń i słabych punktów infrastruktury IT, integralności danych, kontroli wewnętrznych, kontroli automatycznych i kontroli aplikacji to kluczowe cele audytu ITGC. Niezależnie od tego, czy audyt jest przeprowadzany przez audytorów wewnętrznych, czy zewnętrzną firmę audytorską, procedury audytu IT są specyficzne w swoim projekcie, wykonaniu i koncentrują się na ryzyku oraz efektywności operacyjnej kontroli.

Sześć kluczowych obszarów kontroli ITGC

Istnieje sześć głównych obszarów kontroli, które są zazwyczaj objęte audytem ITGC. Każdy z tych obszarów ma kluczowe znaczenie dla zapewnienia bezpieczeństwa i ciągłości działania systemów IT.

  1. Bezpieczeństwo fizyczne i środowiskowe
  2. Bezpieczeństwo logiczne
  3. Zarządzanie zmianami
  4. Kopia zapasowa i odzyskiwanie
  5. Zarządzanie incydentami
  6. Bezpieczeństwo informacji

1. Bezpieczeństwo fizyczne i środowiskowe

Centra danych, niezależnie od ich wielkości, muszą być chronione przed nieautoryzowanym dostępem i nieplanowanymi zdarzeniami środowiskowymi, które mogłyby zakłócić ich działanie. Bezpieczeństwo fizyczne obejmuje szereg środków kontroli dostępu, takich jak karty zbliżeniowe, klawiatury numeryczne lub technologie biometryczne. Kamery przemysłowe, często stanowiące część ogólnofirmowego systemu monitoringu bezpieczeństwa fizycznego, zapewniają dodatkową warstwę ochrony przed nieuprawnionym dostępem.

Systemy HVAC (ogrzewanie, wentylacja i klimatyzacja) zapewniają odpowiednie środowisko dla pracowników pracujących w centrum danych, a przede wszystkim chronią komponenty elektroniczne przed uszkodzeniem, kontrolując temperaturę i wilgotność względną. Wszelkie znaczące zmiany w tych parametrach powinny być identyfikowane i zgłaszane kierownikom centrum danych.

Systemy ochrony przeciwpożarowej, które wykrywają dym, nadmierne ciepło i ogień, mogą uruchamiać alarmy dźwiękowe, wizualne i elektroniczne oraz aktywować systemy gaśnicze na bazie środków chemicznych, takie jak FM-200. Systemy tryskaczowe, zazwyczaj wykorzystujące technologie suche lub mokre, również mogą być aktywowane przez systemy ochrony przeciwpożarowej.

Przykłady dodatkowych kontroli bezpieczeństwa fizycznego i środowiskowego:

  • Ograniczenie liczby pracowników posiadających karty dostępu do serwerowni.
  • Posiadanie podniesionych podłóg i instalacja czujników wody pod podłogami.
  • Kwartalne sprawdzanie gaśnic w serwerowni.

2. Bezpieczeństwo logiczne

Bezpieczeństwo logiczne koncentruje się na kontroli dostępu do systemów i danych. Dostęp do zasobów IT jest zazwyczaj zapewniony wszystkim pracownikom, ale nie wszyscy pracownicy potrzebują dostępu do wszystkich zasobów. Uprawnienia dostępu są zazwyczaj koordynowane przez dział HR i IT w oparciu o zakres obowiązków.

Dostęp do zasobów systemowych jest przyznawany przy użyciu uwierzytelniania jedno- lub dwuskładnikowego. Windows Active Directory jest często wykorzystywany do uwierzytelniania użytkowników. Administratorzy mogą również stosować techniki takie jak pojedyncze logowanie (single sign-on), aby zapewnić dostęp do wielu aplikacji i platform.

Przykłady dodatkowych kontroli bezpieczeństwa logicznego:

  • Udzielanie dostępu do zasobów systemowych nowym pracownikom po zatwierdzeniu przez dział HR i otrzymaniu przez IT wiadomości e-mail z informacją o zatwierdzeniu.
  • Usuwanie danych uwierzytelniających dla zwalnianych pracowników w ciągu 15 minut od powiadomienia przez dział HR.
  • Zmiana haseł co 90 dni.

3. Zarządzanie zmianami

Posiadanie dobrze ustrukturyzowanej funkcji zarządzania zmianami, która często obejmuje komitet ds. przeglądu zmian, zapewnia, że wszystkie zmiany w infrastrukturze IT są sprawdzane, testowane, dokumentowane i zatwierdzane przed wprowadzeniem na produkcję. Brak funkcji zarządzania zmianami może skutkować wdrożeniem systemu, który szkodzi reputacji firmy i potencjalnie naraża całą organizację na ryzyko. Jest to szczególnie ważne w przypadku zarządzania łatkami, które musi być starannie kontrolowane, aby łatki działały zgodnie z oczekiwaniami i były monitorowane oraz regularnie przeglądane.

Przykłady dodatkowych kontroli zarządzania zmianami:

  • Oddzielenie środowisk testowych i produkcyjnych, przy czym środowisko testowe jest wykorzystywane do walidacji zmian i łatek.
  • Ustanowienie komitetu zarządzania zmianami, który przegląda i zatwierdza/odrzuca wszystkie wnioski o zmiany.

4. Kopia zapasowa i odzyskiwanie

Biorąc pod uwagę ilość danych tworzonych codziennie, kopia zapasowa i odzyskiwanie stają się coraz ważniejsze, ponieważ chronią procesy biznesowe, dane, bazy danych, aplikacje i maszyny wirtualne. Opcje tworzenia kopii zapasowych i odzyskiwania danych są liczne i mogą być zarządzane lokalnie przy użyciu serwerów pamięci masowej i sieci SAN, jak również konfigurowane zdalnie przy użyciu usług zarządzanych lub hybrydy tych dwóch rozwiązań. Kopia zapasowa i odzyskiwanie są kluczowymi elementami planów odzyskiwania po awarii (DR), które są niezbędne dla zarządzania ciągłością działania (BC) i osiągnięcia odporności organizacyjnej. Administratorzy mogą wykorzystać liczne kontrole audytowe dla kopii zapasowych i odzyskiwania, takie jak rodzaj danych objętych kopią zapasową, częstotliwość tworzenia kopii zapasowych, szybkość tworzenia kopii zapasowych, docelowe punkty odzyskiwania i szybkość odzyskiwania w sytuacji awaryjnej.

Przykłady dodatkowych kontroli kopii zapasowej i odzyskiwania:

  • Miesięczne testowanie procedur tworzenia kopii zapasowych danych.
  • Kwartalne testowanie procedur odzyskiwania.
  • Roczne testowanie planów DR.

5. Zarządzanie incydentami

Rzadko zdarza się dzień bez zdarzenia, które wpływa na działanie IT. Za każdym razem, gdy takie zdarzenia mają miejsce, proces musi zidentyfikować zdarzenie, ocenić je i podjąć decyzje dotyczące jego łagodzenia i rozwiązania. Procedury reagowania na incydenty są szczególnie ważne w obliczu rosnącego zagrożenia ze strony cyberbezpieczeństwa. Niezależnie od rodzaju zdarzenia - czy to środowiskowe, takie jak pożar, bezpieczeństwo fizyczne, takie jak nieautoryzowany dostęp, czy cyberbezpieczeństwo, takie jak atak ransomware - procedury reagowania na incydenty i plany zarządzania incydentami muszą być udokumentowane i regularnie ćwiczone, aby incydenty mogły być szybko rozwiązywane.

Przykłady dodatkowych kontroli zarządzania incydentami:

  • Utworzenie zespołu ds. zarządzania incydentami, który zapewnia pierwszą reakcję na incydent.
  • Regularne szkolenia z reagowania na incydenty dla zespołu.
  • Codzienne raporty z działań związanych z incydentami dla kierownictwa IT.

6. Bezpieczeństwo informacji

Bezpieczeństwo informacji jest prawdopodobnie najważniejszą ogólną kontrolą IT, ponieważ istnieje tak wiele sposobów na naruszenie bezpieczeństwa. Media regularnie informują o poważnych zdarzeniach z zakresu cyberbezpieczeństwa, w szczególności związanych z kradzieżą danych osobowych lub atakami ransomware, które blokują dostęp do systemów. Wyzwaniem jest to, że wraz z pojawianiem się nowych środków zaradczych w zakresie bezpieczeństwa, podmioty stanowiące zagrożenie wprowadzają jeszcze potężniejsze wektory ataku. Wśród obszarów kontroli najczęściej poruszanych znajdują się perymetr sieci organizacji, systemy stacjonarne i nietechnologiczne kwestie bezpieczeństwa, takie jak inżynieria społeczna. Zdarzenia związane z cyberbezpieczeństwem mogą ewoluować w zdarzenia BC, a zaatakowana firma walczy o ochronę swoich klientów, operacji biznesowych i reputacji.

Przykłady dodatkowych kontroli bezpieczeństwa informacji:

  • Regularne skanowanie podatności na zagrożenia w sieci.
  • Wdrażanie i aktualizacja systemów wykrywania i zapobiegania włamaniom (IDS/IPS).
  • Szkolenia dla pracowników w zakresie bezpieczeństwa informacji, w tym rozpoznawania prób phishingu.

Lista kontrolna audytu ITGC (Przykładowa)

Poniższa tabela przedstawia przykładową listę kontrolną, która może posłużyć jako punkt wyjścia do planowania, harmonogramowania i przeprowadzania audytu ITGC. Identyfikacja kontroli do zbadania jest jednym z pierwszych elementów przygotowania do audytu.

Obszar kontroliPrzykładowe punkty kontrolne
Bezpieczeństwo fizyczne i środowiskowe
  • Kontrola dostępu do centrum danych (karty, biometria).
  • Monitoring CCTV.
  • Systemy HVAC i monitorowanie temperatury i wilgotności.
  • Systemy ochrony przeciwpożarowej i alarmowe.
  • Zasilanie awaryjne (UPS).
Bezpieczeństwo logiczne
  • Zarządzanie tożsamością i dostępem (IAM).
  • Uwierzytelnianie wieloskładnikowe (MFA).
  • Polityka haseł.
  • Kontrola dostępu do systemów i aplikacji.
  • Audyt logów dostępu.
Zarządzanie zmianami
  • Proces zarządzania zmianami (wnioski, zatwierdzenia).
  • Komitet ds. zmian.
  • Testowanie zmian przed wdrożeniem.
  • Dokumentacja zmian.
  • Zarządzanie łatkami.
Kopia zapasowa i odzyskiwanie
  • Polityka kopii zapasowych.
  • Częstotliwość tworzenia kopii zapasowych.
  • Testowanie odzyskiwania.
  • Przechowywanie kopii zapasowych (lokalnie/zdalnie).
  • Plan odzyskiwania po awarii (DRP).
Zarządzanie incydentami
  • Plan zarządzania incydentami.
  • Zespół ds. reagowania na incydenty (IRT).
  • Procedury zgłaszania i eskalacji incydentów.
  • Analiza poincydentowa.
  • Szkolenia z zakresu reagowania na incydenty.
Bezpieczeństwo informacji
  • Polityka bezpieczeństwa informacji.
  • Zabezpieczenie perymetrów sieciowych (firewall, IPS).
  • Ochrona przed złośliwym oprogramowaniem.
  • Skanowanie podatności na zagrożenia.
  • Szkolenia z zakresu świadomości bezpieczeństwa.

Często zadawane pytania (FAQ)

Jak często należy przeprowadzać audyty ITGC?
Częstotliwość audytów ITGC zależy od specyfiki organizacji, jej wielkości, branży i poziomu ryzyka. Zazwyczaj rekomenduje się przeprowadzanie audytów ITGC co najmniej raz w roku. Organizacje o wyższym profilu ryzyka lub podlegające regulacjom prawnym mogą potrzebować częstszych audytów.
Kto powinien przeprowadzać audyt ITGC - wewnętrzni czy zewnętrzni audytorzy?
Zarówno audytorzy wewnętrzni, jak i zewnętrzni mogą przeprowadzać audyty ITGC. Audytorzy wewnętrzni mają dogłębną wiedzę o organizacji, ale mogą być mniej obiektywni. Audytorzy zewnętrzni zapewniają niezależną i obiektywną ocenę, ale mogą wymagać więcej czasu na zapoznanie się z organizacją. Często stosuje się kombinację obu podejść, np. audyt wewnętrzny jako przygotowanie do audytu zewnętrznego.
Jakie korzyści przynosi audyt ITGC?
Audyt ITGC przynosi wiele korzyści, m.in.:
  • Identyfikacja i minimalizacja ryzyka związanego z IT.
  • Poprawa bezpieczeństwa i stabilności systemów IT.
  • Zapewnienie zgodności z przepisami i standardami.
  • Wzrost zaufania klientów i partnerów biznesowych.
  • Optymalizacja procesów IT i zwiększenie efektywności.
Czy lista kontrolna audytu ITGC jest uniwersalna dla każdej organizacji?
Przykładowa lista kontrolna ITGC jest dobrym punktem wyjścia, ale powinna być dostosowana do specyficznych potrzeb i charakterystyki każdej organizacji. Należy uwzględnić branżę, wielkość firmy, regulacje prawne, poziom ryzyka i specyficzne systemy IT wykorzystywane w organizacji.

Podsumowanie

Listy kontrolne audytu ITGC są nieocenionym narzędziem w rękach audytorów IT. Pozwalają na systematyczne i kompleksowe ocenienie kluczowych kontroli IT, identyfikację słabych punktów i rekomendowanie działań naprawczych. Regularne przeprowadzanie audytów ITGC jest kluczowe dla zapewnienia bezpieczeństwa, ciągłości działania i zgodności systemów IT, co w konsekwencji przekłada się na sukces i stabilność całej organizacji. Pamiętajmy, że inwestycja w audyt ITGC to inwestycja w bezpieczeństwo i przyszłość Twojej firmy.

Jeśli chcesz poznać inne artykuły podobne do Listy kontrolne audytu kontroli ITGC, możesz odwiedzić kategorię Audyt.

Go up