Regularne audyty IT powinny być standardem ze względu coraz większe zagrożenie cyberatakami. Np. liczba ataków ransomware wzrosła ponad 10-krotnie rok do roku. Na celowniku przestępców są komputery, serwery, bazy danych, ale też urządzenia zarządzające i kontrolujące procesy technologiczne.

Błędy, które przedsiębiorcy popełniają najczęściej

Oto, czego należy się wystrzegać w prowadzeniu audytów.

1. Złe planowanie audytu – przedsiębiorcy muszą przede wszystkim odpowiedzieć na pytanie, po co firmie audyt? Co powinien sprawdzić, jakiego efektu oczekują?

Z reguły zakres testów powinien obejmować wszystkie punkty styku firmy z internetem, czyli systemy, infrastrukturę sieciową, narzędzia pracy (strona internetowa do nich należy).

Wybieranie zbyt wąskiego zakresu audytu to pierwszy z popularnych błędów.

Jest on często ściśle związany z drugim – sugerowaniem się ceną audytu. To często prowadzi do ograniczenia koniecznej liczby, rodzaju i jakości testów.

2. Utrudnianie pracy pentesterów – błędy często wynikają z blokowania dostępu do poufnych danych osobom spoza firmy – jak więc sprawdzić, czy są one odpowiednio chronione?

Czasem przyjmuje to formę tunelowania VPN (ale nie zawsze to połączenie jest odpowiednio skonfigurowane, np. blokowane są niektóre porty itd.), nieprzekazywana dostępów do baz danych i poszczególnych systemów. Bez analizy „wnętrza” tester może nie wykryć wszystkich luk.

Z dodatkowymi wyzwaniami wiążą się też testy w instytucjach zobowiązanych do zachowania większych restrykcji, np. agencjach rządowych.

W większości z nich pentesterzy nie mogą korzystać ze swojego sprzętu, tylko z urządzeń zamawiającego. Jak nie dostarczy on odpowiednich narzędzi pracy, testy nie będą efektywne.

Często popełnianymi błędami, które wpływają na skuteczność pentestów, są: wąski zakres audytu, ograniczanie dostępu testerom oraz brak realizacji zaleceń pokontrolnych.

3. Odkładanie raportu po audycie na półkę – zdarza się, że firmy ignorują zalecenia pokontrolne. Niechęć do wprowadzania ich w życie wynika często z faktu, że wiążą się one z koniecznością zakupu urządzeń i oprogramowania.

Zazwyczaj testerzy zalecają zmianę procedur organizacyjnych, co też często jest pomijane.

Jak zrobić dobry audyt

Skutkami błędów audytu mogą być wycieki danych i straty idące niekiedy w miliony, nie licząc kar administracyjnych czy wydatków na ratowanie wizerunku firmy.

„Dobrze przeprowadzony audyt powinien sprawdzać nie tylko część techniczną, ale też brać pod uwagę czynnik ludzki, czyli zachowania pracowników, ich reakcje na zagrożenia. Ich błędy odpowiadają za skuteczność ok. 70 proc. ataków. Ponadto, warto też „audytować” audyt, czyli sprawdzać, czy zalecenia są realizowane oraz, a także czy nie pojawiły się nowe luki w systemie ochrony” – radzi Michał Bukontt, dyrektor sprzedaży w spółce Sprint.

„W ciągu roku zainteresowanie audytami cyberbezpieczeństwa wzrosło o 45 proc.” – twierdzi dyrektor.

Artykuł Trzy największe błędy przy audytach IT pochodzi z serwisu CRN.

Poddając się procedurze audytu, przedsiębiorstwo wiele zyskuje. Z jednej strony zabezpiecza się na wypadek zewnętrznej kontroli, zdobywa bowiem pewność, że działa zgodnie z prawem. Z drugiej audyt połączony z inwentaryzacją sprzętu pozwala na zoptymalizowanie jego zakupów. Umożliwia też administratorom szybszą i dokładniejszą reakcję, zwłaszcza w sytuacjach awaryjnych. Odpowiednie zarządzanie oprogramowaniem oznacza również spadek kosztów związanych z pomocą techniczną, dzięki standaryzacji i usunięciu z infrastruktury IT zbędnych, przestarzałych elementów.

Brak wiedzy, ale także oszustwa…

Według specjalistów z zakresu zarządzania licencjami i oprogramowaniem polscy przedsiębiorcy są coraz bardziej świadomi znaczenia legalności używanego oprogramowania. Z tego powodu coraz chętniej decydują się na korzystanie z usługi SAM. Nadal jednak ważne jest systematyczne zachęcanie do weryfikacji posiadanych zasobów oprogramowania. W dalszym ciągu bowiem audyty wykazują niezgodność zakupionych licencji z faktycznie wykorzystywanymi aplikacjami. Wynika to w wielu przypadkach nie tyle ze świadomego działania wbrew prawu, ile z nieznajomości zasad licencjonowania.

– Dziś nie stanowią problemu oszustwa licencyjne czy nadużywanie elastyczności umów w tym zakresie. Nasze doświadczenia wskazują, że chodzi raczej o brak uporządkowanej i zdefiniowanej polityki zarządzania licencjami – twierdzi Tomasz Siemek, członek zarządu Action.

Problem nie zniknął z jeszcze jednego powodu. Obecnie na polskim rynku funkcjonuje niemała „pula” podrobionych produktów i sprawnie działa kanał wtórnego obiegu certyfikatów.

– Warto przestrzec nabywców licencji, szczególnie OEM, aby dokładnie sprawdzali, czy nie kupili podróbek. Pierwszym sygnałem, że coś może być nie w porządku z licencją, są drobne problemy z aktywacją. Wówczas warto skontaktować się z producentem lub dostawcą produktu – mówi Grzegorz Filarowski, prezes zarządu Log System.

Interesującym aspektem, na który wskazują eksperci, jest wpływ nowych technologii na procedurę rozliczania licencji w przedsiębiorstwach. Przez całe lata poprawnością instalacji zarządzano na podstawie jednego sprawdzonego modelu. Na przykład inwentaryzacji kupionych licencji i zainstalowanego oprogramowania, a następnie doradztwa w zakresie najwłaściwszych form licencjonowania w przyszłości. Obecnie nowe trendy, wynikające z popularności urządzeń mobilnych, a także rozwiązań chmurowych bardzo utrudniają zarządzanie oprogramowaniem.

– Współcześnie działający audytor staje się konsultantem. Klient już nie potrzebuje informacji o tym, czy jego oprogramowanie jest legalne, ale wymaga usług doradczych. Oczekuje podpowiedzi, jak może zarządzać oprogramowaniem w sposób ciągły – podkreśla Sebastian Strzech, dyrektor zarządzający CompNetu.

Skomplikowane umowy licencyjne

Wszystkim wahającym się, czy zlecić audyt oprogramowania, warto przypominać o problemie zbytniego skomplikowania umów licencyjnych. O ile w małej firmie spowoduje to jedynie – dajmy na to – opóźnienia w wystawianiu faktur, o tyle w bankowości i finansach, energetyce, handlu czy administracji publicznej potrzeba nagłej weryfikacji skomplikowanych licencji może oznaczać totalny paraliż.

– Im większe znaczenie informatyki w przedsiębiorstwie, tym wyższe koszty oprogramowania. Co za tym idzie, wzrasta ryzyko niewłaściwego zarządzania licencjami – mówi Paweł Marciniak, dyrektor zarządzający IPR-Insights Polska.

Problemem, który występuje praktycznie we wszystkich firmach, niezależnie od ich wielkości, są licencje typu OEM. W tym przypadku najczęstszym powodem rozbieżności wykazywanych podczas audytów jest niezrozumienie warunków licencjonowania. Dlatego użytkownik powinien zrezygnować z kontroli na własną rękę i skorzystać z usług wyspecjalizowanych firm. Ważne, aby audytorem został integrator, którego pracownicy dobrze orientują się w zasadach licencjonowania oprogramowania konkretnego producenta.

– Ponadto priorytetowym zadaniem firmy jest wyznaczenie kompetentnej osoby, która będzie odpowiadała za realizację procesu SAM. Odpowiednie formuły licencjonowania (np. chmura, licencje grupowe) mogą z kolei bardzo pomóc zoptymalizować zarządzanie właściwym wykorzystaniem oprogramowania oraz zminimalizować ryzyko wystąpienia nieautoryzowanego software’u – twierdzi Sebastian Strzech.

Nagła zmiana sposobu licencjonowania…

Wykorzystanie wiedzy i rozwiązań profesjonalnej firmy audytorskiej może okazać się konieczne w przypadku wprowadzania przez vendorów nagłych zmian w sposobach licencjonowania własnych produktów.

Przykładem może być opublikowana na początku września 2015 r. przez firmę Oracle informacja o nowej licencji baz danych: Data Base Standard Edition Two. Zastąpi ona dotychczasowe licencje Standard Edition One i Standard Edition. Obie „stare” wersje mają być w sprzedaży do 30 listopada 2015 r., a ich wsparcie techniczne jest przewidziane do sierpnia 2016. Zdaniem ekspertów takie działanie sugeruje, że Oracle nie będzie już przywiązywał dużej wagi do segmentu małych i średnich firm.

– Może to oznaczać, że firma liczy się z utratą obecnych klientów, posiadających licencję Standard Edition. Wprowadzenie nowej licencji, wraz z jej ograniczeniami, spowoduje, że klienci będą musieli skupić się na licencji Enterprise Edition albo… zrezygnować z produktów Oracle’a – prognozuje Janusz Krzyczkowski, Sales Manager IPR-Insights.

Usługi audytorskie obiecującym rynkiem dla resellerów?

Czy popyt na usługi audytorskie oznacza jednocześnie szansę na poszerzenie oferty przez firmy z kanału dystrybucyjnego? Wśród ekspertów przeważa pogląd, że audyt w formie usługi może być oferowany przede wszystkim przez wyspecjalizowanych integratorów.

Paweł Marciniak

dyrektor zarządzający, IPR-Insights

Problemem w Polsce nie jest nielegalne oprogramowanie, lecz błędy wynikające z nieznajomości typowych komplikacji występujących na styku konfiguracji oprogramowania i jego licencjonowania. Im bardziej skomplikowane środowisko, tym większe ryzyko błędu. Paradoksalnie, im dłużej dane środowisko działa w firmie, tym większe ryzyko, że ze względu na wielokrotne aktualizacje znajdują się w nim błędne instalacje. Część dostawców „zaszyło” w oprogramowaniu mechanizmy kontroli. Nieautoryzowane uruchomienie bądź instalacja danej aplikacji automatycznie generuje fakturę dla użytkowników. Przykładem takich aplikacji jest oprogramowanie typu CAD i programy inżynierskie.

– Aby świadczyć usługi SAM, trzeba zdobyć wiedzę z zakresu architektury IT, księgowości, budowy procedur i, co najważniejsze, licencjonowania. Przy czym każdy ze specjalistów powinien mieć odpowiednie doświadczenie – uważa Paweł Marciniak.

Za wejściem resellerów na rynek usług SAM przemawia pojawianie się nowoczesnych rozwiązań w modelu SaaS. Przykładem jest wprowadzona do obrotu handlowego przez Log System usługa „Legalność Oprogramowania”. Firma oferuje partnerom usługę, która nie absorbuje zasobów systemowych audytowanego przedsiębiorstwa ani czasu, nie wymaga instalacji serwerów, zatrudniania specjalistów od baz danych ani wdrożenia w firmie zaawansowanych technologii informatycznych. Świadczona jest w ramach abonamentu opłacanego co miesiąc.

– Nasze oprogramowanie zbiera dane z każdego komputera klienta i przesyła administratorowi gotowe, przeanalizowane wyniki. Stworzyliśmy model skuteczny i tani dla klienta, a także stanowiący źródło przychodów dla resellera – zapewnia Grzegorz Filarowski.

Dwie strony medalu

Można zaryzykować twierdzenie, że rynek licencji oprogramowania ma dwa oblicza. Z jednej strony funkcjonuje na nim bardzo aktywny nielegalny kanał wtórnego obiegu licencji, „zasilany” podróbkami z Chin, którego istnienie jest możliwe z powodu całkowicie beztroskiego podejścia wielu przedsiębiorców do umów licencyjnych. Z drugiej strony za nielegalny obrót i kradzież oprogramowania grożą kary.

Firmy lekceważące przepisy mogą ponieść poważne konsekwencje, takie jak utrata ważnych dla ich rozwoju danych i surowe sankcje finansowe. Kierownictwu grozi odpowiedzialność karna, przedsiębiorstwu – utrata wizerunku solidnego, uczciwego podmiotu. Wykorzystanie samowolnie instalowanego, ściągniętego z Internetu oprogramowania, może również prowadzić do przejęcia kontroli nad sprzętem w wyniku zainfekowania komputera złośliwym lub szpiegowskim oprogramowaniem. Warto więc już dziś zwrócić na to uwagę klientów i zachęcić ich do przeprowadzenia audytu…

Artykuł Audyt poproszę pochodzi z serwisu CRN.

Strona znajduje się pod adresem www.zrobtosamo.pl.

Artykuł BSA zachęca firmy do kontroli oprogramowania pochodzi z serwisu CRN.

– Na nasze wyniki wpłynęły nowe umowy dystrybucyjne, stałe poszerzanie oferty produktowej oraz praca nad efektywnością operacyjną firmy – komentuje Andrzej Przybyło, prezes AB.

Artykuł Wyniki AB po audycie pochodzi z serwisu CRN.

Przykładowa cena katalogowa: Privileged User Manager 2.3 z licencją na 1 rok kosztuje 870 euro (3480 zł przy przeliczniku 4 zł za 1 euro). Aplikację można bezpłatnie testować przez pół roku.

Artykuł Novell: oprogramowanie do kontroli i audytu pochodzi z serwisu CRN.

Artykuł Większe zyski AB pochodzi z serwisu CRN.