Regularne audyty IT powinny być standardem ze względu coraz większe zagrożenie cyberatakami. Np. liczba ataków ransomware wzrosła ponad 10-krotnie rok do roku. Na celowniku przestępców są komputery, serwery, bazy danych, ale też urządzenia zarządzające i kontrolujące procesy technologiczne.

Błędy, które przedsiębiorcy popełniają najczęściej

Oto, czego należy się wystrzegać w prowadzeniu audytów.

1. Złe planowanie audytu – przedsiębiorcy muszą przede wszystkim odpowiedzieć na pytanie, po co firmie audyt? Co powinien sprawdzić, jakiego efektu oczekują?

Z reguły zakres testów powinien obejmować wszystkie punkty styku firmy z internetem, czyli systemy, infrastrukturę sieciową, narzędzia pracy (strona internetowa do nich należy).

Wybieranie zbyt wąskiego zakresu audytu to pierwszy z popularnych błędów.

Jest on często ściśle związany z drugim – sugerowaniem się ceną audytu. To często prowadzi do ograniczenia koniecznej liczby, rodzaju i jakości testów.

2. Utrudnianie pracy pentesterów – błędy często wynikają z blokowania dostępu do poufnych danych osobom spoza firmy – jak więc sprawdzić, czy są one odpowiednio chronione?

Czasem przyjmuje to formę tunelowania VPN (ale nie zawsze to połączenie jest odpowiednio skonfigurowane, np. blokowane są niektóre porty itd.), nieprzekazywana dostępów do baz danych i poszczególnych systemów. Bez analizy „wnętrza” tester może nie wykryć wszystkich luk.

Z dodatkowymi wyzwaniami wiążą się też testy w instytucjach zobowiązanych do zachowania większych restrykcji, np. agencjach rządowych.

W większości z nich pentesterzy nie mogą korzystać ze swojego sprzętu, tylko z urządzeń zamawiającego. Jak nie dostarczy on odpowiednich narzędzi pracy, testy nie będą efektywne.

Często popełnianymi błędami, które wpływają na skuteczność pentestów, są: wąski zakres audytu, ograniczanie dostępu testerom oraz brak realizacji zaleceń pokontrolnych.

3. Odkładanie raportu po audycie na półkę – zdarza się, że firmy ignorują zalecenia pokontrolne. Niechęć do wprowadzania ich w życie wynika często z faktu, że wiążą się one z koniecznością zakupu urządzeń i oprogramowania.

Zazwyczaj testerzy zalecają zmianę procedur organizacyjnych, co też często jest pomijane.

Jak zrobić dobry audyt

Skutkami błędów audytu mogą być wycieki danych i straty idące niekiedy w miliony, nie licząc kar administracyjnych czy wydatków na ratowanie wizerunku firmy.

Dobrze przeprowadzony audyt powinien sprawdzać nie tylko część techniczną, ale też brać pod uwagę czynnik ludzki, czyli zachowania pracowników, ich reakcje na zagrożenia. Ich błędy odpowiadają za skuteczność ok. 70 proc. ataków. Ponadto, warto też „audytować” audyt, czyli sprawdzać, czy zalecenia są realizowane oraz, a także czy nie pojawiły się nowe luki w systemie ochrony” – radzi Michał Bukontt, dyrektor sprzedaży w spółce Sprint.

W ciągu roku zainteresowanie audytami cyberbezpieczeństwa wzrosło o 45 proc.” – twierdzi dyrektor.