Audyty bezpieczeństwa

Tekst przeniesiony z like-a-geek.jogger.pl.

Mimo że całkiem niedawno narzekałem na dość dziwną tematykę artykułów sponsorowanych, dziś udało mi się znaleźć dość ciekawy temat, który być może zainteresuje czytelników bloga – chodzi o audyty bezpieczeństwa.

Z góry uprzedzam, że artykuł jest sponsorowany przez firmę IT Business Consulting Expert zajmującą się m.in. wspomnianymi wyżej audytami.

Audyt w Polsce?

Audyt bezpieczeństwa to całokształt działań mających na celu zbadanie i ocenienie, czy dany system jest wystarczająco dobrze chroniony (definicja skrócona na podstawie Wikipedii). Nawet pobieżne rzucenie okiem na wyniki zwracane przez Google pokazuje, że w Polsce nie jest to popularne działanie – właściwie nikt nie pozycjonuje się na hasła takie jak „audyty bezpieczeństwa”, co mówi samo za siebie;).

Jak widać, rynek związany z bezpieczeństwem danych w Polsce dopiero raczkuje, więc jest to całkiem dobry moment na zdobywanie go. Z tego co się orientuję, mało która firma, wyłączając te związane z IT, ma pojęcie o tym, co może stać się z ich danymi (patrz wszelkiego rodzaju panie Krysie prowadzące księgowość). Niestety, ale nienależyta ochrona danych może spowodować ich wyciek, narażając na niebezpieczeństwo finansowe i wizerunkowe – jednym z ostatnich przykładów jest afera z wyciekiem danych z Pekao (linków jest mnóstwo, ale akurat webhosting lubię:).

Zastanawiające jest, że nawet tak duże firmy jak ogólnopolski bank, któremu ufa olbrzymia grupa ludzi i objęty jest dużo większą kontrolą niż np. zakład fryzjerski na rogu dopuścił się takiego zaniedbania. Prawdopodobnie koszta nie są tu elementem znaczącym, gdyż potencjalne straty płynące z kradzieży lub upublicznienia ważnych dla firmy i jej klientów danych mogą być znacząco wyższe niż audyt bezpieczeństwa. Moim zdaniem część winy leży właśnie po stronie firm oferujących audyty bezpieczeństwa, takich jak właśnie IT Business Consulting Experts, gdyż nie potrafią dotrzeć do klienta. Z drugiej strony, ciężkim zadaniem może być nakłonienie właściciela firmy do zapłacenia za kilkudziesięciostronicowy raport, którego i tak nie zrozumie. Zdaję sobie sprawę, że w firmie prawdopodobnie mogą być osoby odpowiedzialne za infrastrukturę komputerową, przechowywanie danych itp., jednak te osoby również mogą mieć problem z przekazaniem danych szefostwu – wiadomo, jak rozmawia się z geekami.

Twoje dane są ważne!

Mimo wszystko świadomość wagi przechowywanych i przetwarzanych danych wydaje się wzrastać – po części dzięki nagłaśnianym przez media aferom związanych z kolejnymi atakami hackerów (lub osób określanych przez media mianem hackerów), a częściowo ze względu na z miesiąca na miesiąc wzrastające uzależnienie od komputerów. Nie trzeba być specem od bezpieczeństwa, żeby zauważyć, że im więcej sprzętu, tym więcej pojawia się potencjalnych możliwości ataku. Zadaniem audytora (najlepiej zewnętrznego, żeby nie miał skrupułów wytykać szefowi popełnionych błędów;) jest właśnie znalezienie miejsc, w których mógłby nastąpić ewentualny atak i pokazanie jak je naprawić. Myślę, że ponadto mogą zdarzyć się sytuacje, w których właściciele systemów komputerowych lub stron www są zbyt pewni siebie, żeby z własnej woli zapraszać do firmy osoby, które pokażą, gdzie popełniły błędy.

Podsumowując, myślę, że w Polsce jest mnóstwo miejsca dla firm oferujących audyty bezpieczeństwa – wystarczy przekonać właścicieli systemów, że taniej i skuteczniej jest chronić dane niż po ewentualnym ataku tłumaczyć się przed klientami dlaczego doszło do wycieku. W końcu utrata zaufania może boleć bardziej niż wydane pieniądze. A że wraz ze wzrostem znaczenia cyfrowych informacji rośnie ryzyko ich wykradzenia, firmy oferujące audyt mogą mieć bardzo dobre warunki rozwoju.

Autor artykułu: Marcin Kosedowski.