AAA - Audit, Analýza, Aplikácia výsledkov - 1.časť

Tieto 3A, sú často spomínané manažmentom, ale veľmi zriedkavo používané v praxi.

Takže sú zázračným riešením alebo je to iba výhovorka čí omielaná formulka?

Co to teda ten audit je?

Hlavnou úlohou auditu IS/IT je podrobné posudzovanie rizík a hrozieb a odborné preverovanie kontrolných nástrojov a postupov či momentálneho stavu v informačných systémoch.

Nuž ak máte firemnú politiku akúkoľvek, audit by mal byť aspoň raz ročne, úplne v pohode stačí spravený interne. Aspoň zistíte čo máte v informačných systémoch. Veď spraviť audit nie je vôbec zložité. Sú relatívne lacné nástroje a dokonca niektoré sú zadarmo. (Napríklad WinAudit Freeware v2.28.2, Network Asset Tracker, Audit Pro, System Information for Windows (v platenej verzií) alebo sa dá využiť kombinácia rôznych iných programov.)

A často zistíte, že platíte za množstvo vecí, ktoré vôbec nepotrebujete. Taktiež je auditom ľahké zistiť vyťažovanie sieťe, pokiaľ samozrejme, nemáte dohľadový systém na LAN, a možno budete prekvapený čo vyťažuje komunikáciu.

Takže ako začať?

V prvom kroku sa treba rozhodnúť akí audit chcete robiť. Ísť do komplexného auditu (HW, SW, bezpečnosť, prevádzka LAN či vyťažiteľnosť IS) alebo urobiť čiastkový / čiastkové audity?

Obe varianty majú svoje pre i proti.

Komplexný audit je časovo i finančne náročnejší, pri predpoklade že to robí externá firma. No po jeho ukončení má firma komplexný prehľad o fungovaní a obsahu svojho informačného systému.

Čiastkový audit dokáže relativne rýchlo poskytnút prehľad o najpálčivejších oblastiach IS. Napríklad ked dochádzajú CAL alebo je v systéme priveľa nejasností ohľadom HW či účtov užívateľov.

Jedným z najdôležitejších je, aspoň podľa mňa, analýza bezpečnosti.

Analýza IS a IT bezpečnosti je jeden z najdôležitejších prvkov auditu, pričom sa posudzuje súlad reálneho stavu IS a IT voči existencií interných smerníc, fyzickej, organizačnej a logickej bezpečnosti s príslušnou legislatívou a internými nariadeniami organizácie.

(pokračovanie)