Wielu czytelników może nie znać pojęcia audyt, z pomocą może przyjść nam Wikipedia, a mówi ona, że "audyt polega na ocenie przez kompetentny i niezależny zespół audytujący czy dany przedmiot audytu spełnia wymaganie". Jest wiele rodzai audytów, jedne z nich to właśnie audyty bezpieczeństwa, które polegają na sporządzeniu szczegółowych analiz związanych z bezpieczeństwem systemu informatycznego, stron internetowych, czy programów komputerowych.

Firm zajmujących się tą dziedziną ostatnio jest co raz więcej, wiąże się to oczywiście z popytem na tego typu usługi, a także cele finansowe. Jednak finanse finansami, a wykonać dobry audyt nie jest rzeczą prostą i szybką. Warto zajrzeć tutaj, co oferuje jedna z firm wykonująca audyty bezpieczeństwa.

Firmy stają się co raz większe i większe, a wraz z nimi rozwijają się systemy informatyczne, a im one większe, tym większe ryzyko, że będą one niestabilne, narażone na ataki z zewnątrz i wewnątrz. Zwykły użytkownik internetu wie, że jeszcze kilka lat temu nikt nie myślał np. o SQL Injections, czy XML Injections, im więcej narzędzi mamy do tworzenia stron internetowych czy sieci teleinformatycznych tym więcej sposobów, aby ingerować w nie w sposób niewłaściwy przez osoby do tego nieupoważnione.

Duża korporacja nie może sobie pozwolić na tego typu zagrożenia, jednak jeszcze poważniejsze w skutkach są ataki wewnętrzne - dlatego firma nie powinna ufać w 100% swoim pracownikom. Sabotaż i wykradanie danych firmy jest jednym z najczęstszych incydentów, dlatego zwykłe desktopy w firmach powinny być dobrze zabezpieczone, a ich użytkownicy mieć ograniczony dostęp i minimalne uprawnienia.

To właśnie audyt bezpieczeństwa wskaże najsłabsze ogniwa sieci teleinformatycznej i minimalne uprawnienia dla zwykłych użytkowników sieci firmowej i desktopów. Trzeba jednak pamiętać także o tym, że zespół najlepszych specjalistów nie jest w stanie zabezpieczyć naszej sieci w 100%, można zaryzykować stwierdzeniem, że bezpieczeństwo sieci teleinformatycznej zależy w równym stopniu nie tylko od tego zespołu specjalistów, ale także zwykłych pracowników. Dlatego należy przeprowadzać serię szkoleń i wskazać te elementy, które mogą być niebezpieczne.

Jak już wspomniałem audyty bezpieczeństwa są bardzo drogie i nie opłaca się ich zlecać małym i średnim firmom, chyba że są to bardzo specjalistyczne jednostki, jednak warto wziąć pod uwagę, że jeden atak może zniszczyć całą bazę danych takich małych firm, co będzie dla nich tragiczne w skutkach. Audyt oprócz tego, że wskaże słabe strony sieci pokazuje, że firmie zależy na bezpieczeństwie jej danych, co jest bardzo dużą zaletą w kontaktach z klientami i innymi firmami, dla których w przyszłości może pracować. Choć z drugiej strony może to też działać na niekorzyść firmy, ponieważ oznacza to, że coś z jej systemami bezpieczeństwa było nie tak, szczególnie jeżeli chodzi o audyty po włamaniowe.

Audyty może tworzyć każdy, ale najlepiej jakby było to zgodnie z definicją przywołaną na początku definicją, czyli z naciskiem na słówko "kompetentny". Dlatego warto sprawdzić czy wybrani przez nas audytorzy mają odpowiednie wykształcenie, a ich wiedza podparta będzie certyfikatami np. CISA, czy CIA, oprócz tego ważne są standardy np. ISO 17799.

Jak widać audyty bezpieczeństwa mają wiele zalet i moim zdaniem jedną wadę - cenę, ale dla poważnej firmy, która jest narażona w większym stopniu na włamania i kradzież danych i której zależy na bezpieczeństwie sieci teleinformatycznej cena nie powinna obchodzić.