Regularne audyty IT powinny być standardem ze względu coraz większe zagrożenie cyberatakami. Np. liczba ataków ransomware wzrosła ponad 10-krotnie rok do roku. Na celowniku przestępców są komputery, serwery, bazy danych, ale też urządzenia zarządzające i kontrolujące procesy technologiczne.

Błędy, które przedsiębiorcy popełniają najczęściej

Oto, czego należy się wystrzegać w prowadzeniu audytów.

1. Złe planowanie audytu – przedsiębiorcy muszą przede wszystkim odpowiedzieć na pytanie, po co firmie audyt? Co powinien sprawdzić, jakiego efektu oczekują?

Z reguły zakres testów powinien obejmować wszystkie punkty styku firmy z internetem, czyli systemy, infrastrukturę sieciową, narzędzia pracy (strona internetowa do nich należy).

Wybieranie zbyt wąskiego zakresu audytu to pierwszy z popularnych błędów.

Jest on często ściśle związany z drugim – sugerowaniem się ceną audytu. To często prowadzi do ograniczenia koniecznej liczby, rodzaju i jakości testów.

2. Utrudnianie pracy pentesterów – błędy często wynikają z blokowania dostępu do poufnych danych osobom spoza firmy – jak więc sprawdzić, czy są one odpowiednio chronione?

Czasem przyjmuje to formę tunelowania VPN (ale nie zawsze to połączenie jest odpowiednio skonfigurowane, np. blokowane są niektóre porty itd.), nieprzekazywana dostępów do baz danych i poszczególnych systemów. Bez analizy „wnętrza” tester może nie wykryć wszystkich luk.

Z dodatkowymi wyzwaniami wiążą się też testy w instytucjach zobowiązanych do zachowania większych restrykcji, np. agencjach rządowych.

W większości z nich pentesterzy nie mogą korzystać ze swojego sprzętu, tylko z urządzeń zamawiającego. Jak nie dostarczy on odpowiednich narzędzi pracy, testy nie będą efektywne.

Często popełnianymi błędami, które wpływają na skuteczność pentestów, są: wąski zakres audytu, ograniczanie dostępu testerom oraz brak realizacji zaleceń pokontrolnych.

3. Odkładanie raportu po audycie na półkę – zdarza się, że firmy ignorują zalecenia pokontrolne. Niechęć do wprowadzania ich w życie wynika często z faktu, że wiążą się one z koniecznością zakupu urządzeń i oprogramowania.

Zazwyczaj testerzy zalecają zmianę procedur organizacyjnych, co też często jest pomijane.

Jak zrobić dobry audyt

Skutkami błędów audytu mogą być wycieki danych i straty idące niekiedy w miliony, nie licząc kar administracyjnych czy wydatków na ratowanie wizerunku firmy.

„Dobrze przeprowadzony audyt powinien sprawdzać nie tylko część techniczną, ale też brać pod uwagę czynnik ludzki, czyli zachowania pracowników, ich reakcje na zagrożenia. Ich błędy odpowiadają za skuteczność ok. 70 proc. ataków. Ponadto, warto też „audytować” audyt, czyli sprawdzać, czy zalecenia są realizowane oraz, a także czy nie pojawiły się nowe luki w systemie ochrony” – radzi Michał Bukontt, dyrektor sprzedaży w spółce Sprint.

„W ciągu roku zainteresowanie audytami cyberbezpieczeństwa wzrosło o 45 proc.” – twierdzi dyrektor.

Artykuł Trzy największe błędy przy audytach IT pochodzi z serwisu CRN.

Chodzi o regionalny projekt wdrożeniowy (RPW KSZRD E1) w obszarze dróg krajowych nr A4 i A8. Jest to część dużej inwestycji budowy i wdrożenia jednolitego, zintegrowanego inteligentnego systemu teleinformatycznego – Krajowego Systemu Zarządzania Ruchem.

Zadanie obejmuje zaprojektowanie, dostawę, wdrożenie, uruchomienie modułów rozproszonych w pasie drogowym przez ich integrację z Systemem Centralnym KSZR wraz z usługami rozwoju oraz wsparcia i utrzymania wszystkich elementów systemu. Przetarg obejmował część 2 zamówienia w oddziałach GDDKiA we Wrocławiu i w Opolu (drogi A4 i A8) oraz CZR Wrocław – Widawa.

Prowadzącym postępowanie jest Generalna Dyrekcja Dróg Krajowych i Autostrad Oddział we Wrocławiu.

Wartość oferty w ramach zamówienia podstawowego wynosi 166,62 mln zł brutto, z czego na Wasko przypada ok. 24 proc.

Dodatkowo wykonawca złożył ofertę na prace objęte prawem opcji, których łączna wartość nie może przekroczyć 50 proc. wartości zamówienia głównego. Oferta konsorcjum wynosi 17,31 mln zł.

Konsorcjum Wasko przebiło w przetargu spółki Aldesa Construcciones oraz Aeronaval de Construcciones e Instalaciones, które zaproponowały wykonanie zamówienia za 274,16 mln zł (plus 15,2 mln zł w opcji).

Kryterium oceny ofert stanowiły: cena – 60 proc., kryteria pozacenowe – 40 proc., w tym: nieinwazyjne rozwiązania techniczne (NRT) – 20 proc., koszt utrzymania – 20 proc. Termin realizacji wynosi 840 dni od dnia podpisania umowy z GDDKiA.

Ponadto w części 1 zamówienia oprócz wspomnianego konsorcjum hiszpańskich spółek i polskiego oddziału jednej z nich, ofertę złożyło także konsorcjum Sprint i T4B oraz polski oddział hiszpańskiej spółki Alumbrados Viarios Sociedad Anonima, który zaproponował najniższą cenę – 92,3 mln zł plus ponad 30 mln zł w opcji.

Setki milionów na drogową informatykę

Cztery regionalne projekty wdrożeniowe (cz.1: GDDKiA oddziały Gdańsk i Olsztyn drogi S6 i S7, cz.2: Łódź A1 i A2, cz.3: Katowice A1, A4, S1, cz.4: Wrocław i Opole A4 i A8) są elementami krajowego systemu zarządzania ruchem na sieci TEN-T Etap 1 (RPW). Celem GDDKiA jest wdrożenie jego elementów na wybranych drogach sześciu województw (pomorskiego, warmińsko-mazurskiego, łódzkiego, dolnośląskiego, opolskiego i śląskiego) oraz ich integracja z systemem centralnym KSZR tj. centralnym projektem wdrożeniowym.

Zadaniem wykonawców poszczególnych części RPW jest zaprojektowanie, wdrożenie i uruchomienie infrastruktury przydrożnej ITS na wymienionych drogach, wraz z wykonaniem testów i podłączeniem do czterech regionalnych centrów zarządzania ruchem.
 
Wielomilionowe inwestycje mają przełożyć się na stały monitoring natężenia ruchu i jednocześnie możliwości zarządzania nim np. poprzez zmiany ograniczeń prędkości w czasie rzeczywistym, zamykanie wjazdów, kontrole dopływu ruchu do autostrad i tras ekspresowych przez np. sterowanie sygnalizacją świetlną na drogach dojazdowych. System ma osiągnąć pełną funkcjonalność w 2021 r. Obejmuje trasy o długości 1,1 tys. km.

Artykuł Wybrano ofertę w przetargu za 166 mln zł pochodzi z serwisu CRN.

Za kadencji Cano Tech Data w Europie osiągnęła rekordowe zyski. Kierował firmą na kontynencie od 2007 r., a do Tech Daty przeszedł w 1989 r. (w wyniku przejęcia Computer 2000). Wcześniej zarządzał globalnymi operacjami broadlinera, był szefem Tech Daty w Ameryce, a w latach 90-tych pracował w oddziałach w Hiszpanii i Portugalii. 

Jak ważną postacią dla Tech Daty był Nestor Cano, pokazują ostatnie raportowane wyniki finansowe. W III kw. 2016 r. Tech Data w Europie generowała 60 proc. wszystkich globalnych przychodów korporacji, tj. 3,9 mld. dol. To o 6 proc. mniej niż przed rokiem, ale o 6 proc. więcej jeśli pominąć zmiany kursu dolara. 
Zysk operacyjny (liczony z pominięciem zasad księgowości GAAP) wyniósł 0,98 proc. sprzedaży (37,9 mln dol.) wobec 0,89 proc. rok wcześniej (36,5 mln dol.). Z pominięciem wahań kursów walut zysk Tech Daty w Europie zwiększył się w ciągu roku o 19 proc. – ok. 7 mln dol. 

"Nestor to doświadczony lider." – zachwyca się CEO Sprinta, Marcelo Claure. – "Jego doświadczenie prowadzenia niskomarżowego biznesu z pomocą niewielkich wydatków operacyjnych pomoże nam kontynuować transformację".  

Artykuł Tech Data traci ważną postać pochodzi z serwisu CRN.