Auditul IT

Personal, am avut vreo 2-3 experiente din care am observat ca auditul IT poate constitui o mare spaima in unele companii. Vestea "Vine auditu'! " era cam la fel de rea ca "vine moartea cu coasa". Nu prea inteleg de ce.... pentru ca auditul sistemelor informatice nu este deloc un bau-bau.
Sa vedem deci ce inseamna audit IT:

Ce este:
Auditul IT reprezinta un proces prin care se colecteaza informatiile si se face o evaluare complexa, serioasa, a sistemului informatic (ansamblul hardware + software utilizat) al unei firme.

Ce/cum face:
Auditorul discuta cu personalul departamentului IT (daca exista), sau cu firma / firmele care ofera serviciile IT externalizate. In mod normal, se discuta cu IT Managerul. Auditorul vine cu un set (mare) de intrebari, cu o serie de check-list-uri, cu ajutorul carora afla in detaliu informatii cum ar fi:

• compozitia si organizarea infrastructurii IT hardware;
• securitatea fizica a echipamentelor IT critice si a celor uzuale;
• solutiile IT software utilizate pentru indeplinirea activitatilor din companie;
• securitatea datelor stocate si manipulate in sistemul informatic al companiei;
• categoriile de personal care au acces la datele critice ale companiei si tipul de acces;
• categoriile de personal care au acces la informatiile confidentiale, datele cu caracter personal etc, pe care compania le manevreaza in activitatea sa; tipul de acces;
• cine indeplineste operatiuni critice in sistemul informatic;
• tipul de acces din exterior, daca exista, la date stocate pe echipamentele din interiorul companiei;
• existenta copiilor de siguranta si securitatea fizica a acestora;
• politicile IT implementate in companie mai ales in directia securitatii informatiei: daca exista, care sunt, gradul de aplicare practica efectiva (in ce masura personalul firmei respecta politicile IT stabilite; in ce masura sunt implementate politici IT automatizate la care sa nu se mai puna problema daca utilizatorii le respecta sau le negllijeaza);
• procedurile IT: exista? care sunt - pe tipuri de activitati; grad de aplicare; etc.

Ce se obtine / ce ar trebui sa se obtina in final:

• Un document care sa ofere o evaluare obiectiva a sistemului informatic al companiei si a vulnerabilitatilor sale. Plusurile si minusurile !
• O evaluare a gradului in care exista o legatura corespunzatoare intre necesitatile de business ale companiei si organizarea curenta a resurselor IT. Adica ofera infrastructura IT curenta precum si personalul IT existent, toate resursele necesare care sa permita desfasurarea normala a business-ului? Mai mult decat atat, resursele IT materiale si umane curente, suporta o crestere a business-ului, sau ar trebui upgrade-ate de urgenta intr-o atare situatie? Exista un echilibru intre afacere si resursele IT care o sustin?
• O evaluare a gradului in care necesitatile IT sunt satisfacute sau nu. Exista minusuri in sistemul informatic, care ar putea fi corectate prin achizitii de echipament si/sau software sau prin dezvoltari suplimentare? Sa nu uitam ca, de multe ori, business-ul reprezentat prin directori lipsiti de notiuni IT emite cerinte catre departamentul IT, care nu pot fi satisfacute intotdeauna cu instrumentele existente in mod curent.

Asadar, desi auditul este un control, el nu ar trebui sa sperie. Este un control care la final ofera concluzii si sugestii, si nu trimite amenzi pentru minusurile identificate !
Aaaaaaa, daca dupa plecarea auditului, conducerea firmei va lua "lista cu minusuri" si in loc de a incepe un plan de imbunatatiri, va trece la "stabilirea si vanatoarea vinovatilor" iar capetele din departamentul IT vor "cadea", este un cu totul alt aspect....

In final, audit IT pe timp de criza: se mai plateste asa ceva?
Raspunsul e DA. Desi o companie ar putea sa spuna ca nu sunt bani pentru un audit informatic, totusi ar trebui sa se ia in considerare si situatii in care sume muuuuuult mai mari s-ar pierde prin bresele de securitate necunoscute sau nebagate in seama, de exemplu !