- Přehledy IS
- APS (25)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (31)
- CRM (52)
- DMS/ECM - správa dokumentů (19)
- EAM (17)
- Ekonomické systémy (68)
- ERP (87)
- HRM (28)
- ITSM (6)
- MES (33)
- Řízení výroby (36)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (40)
- Dodavatelé CRM (37)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (63)
- Informační bezpečnost (43)
- IT řešení pro logistiku (48)
- IT řešení pro stavebnictví (26)
- Řešení pro veřejný a státní sektor (27)
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
Logistika, řízení skladů, WMS
IT právo
GIS - geografické informační systémy
Projektové řízení
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | ||
Bezpečnostní audit odhalí slabá místa dříve než hackeři
IT infrastruktura podniků a organizací je bojištěm, na kterém se střetávají, se střídavými úspěchy, kybernetičtí útočníci s obránci z řad IT administrátorů. Tento boj probíhá bez přestávek, nemá konce a ani nelze říci, že dobro vítězí nad zlem. Vítězem je vždy ten, kdo je v daný okamžik rychlejší, vynalézavější a má k dispozici kvalitní nástroje a procesy. Jedním z klíčových obranných procesů je bezpečnostní audit, který dokáže odhalit slabá místa dříve, než se k nim dostanou útočníci, a tím minimalizovat napadení firemních systémů.
O bezpečnostních auditech IT infrastruktur většinou slýcháme spíše ve větších organizacích – hlavně proto, že mnoho SMB firem není přesvědčeno o jejich potřebnosti. Jedním z důvodů je názor, že SMB jsou pro útočníky nezajímavé. Ale to je chybná úvaha. Již 56 % malých a středních firem se v minulosti stalo terčem kybernetických útoků, protože hackeři jdou zejména tam, kde cítí menší odpor. Z tohoto pohledu jsou SMB ideální, protože mají malé rozpočty na IT bezpečnost, využívají minimum obranných nástrojů a opatření, a disponují malými či žádnými týmy IT odborníků. Proto bezpečnostní audit dnes dává smysl také v SMB sektoru.
Co je bezpečnostní audit?
Bezpečnostní audit je proces, který umožňuje firmám testovat a hodnotit celkovou úroveň své kybernetické bezpečnosti. Audity mohou být jednorázové, ale spíše se doporučují na pravidelné bázi s tím, jak se bezpečnostní situace a rizika rychle mění. Například v prvním čtvrtletí roku 2021 bylo zjištěno, že 74 % malwaru nebylo možné detekovat standardními nástroji využívajícími signatury jako např. antiviry. Proto je užitečné provádět audit často a pravidelně.
Bezpečnostní audit dokáže vyhodnotit datové toky v organizaci, identifikovat zranitelnosti IT infrastruktury, detekovat problémy, vyhodnotit interní či externí procesy a identifikovat slabá místa, kudy by mohli hackeři proniknout. Jeho nezanedbatelným vedlejším efektem je významná pomoc v úsilí o dosažení shody se stále větším počtem nejrůznějších předpisů a nařízení.
Manuálně nebo se specifickými nástroji?
Vzhledem k neustále se rozšiřujícímu IT prostředí v jednotlivých firmách zahrnuje bezpečnostní audit až několik desítek úkonů, které prověří úroveň IT bezpečnosti. V zásadě lze bezpečnostní audit v běžné SMB společnosti provést kompletně manuálně. Koneckonců, vždy zůstanou úkony, které jinak než manuálně provést nepůjdou, jako je například kontrola a přenastavení firewallů nebo vyhodnocování a vylepšování interních bezpečnostních postupů.
Na druhou stranu každý auditní úkon, který lze provést pomocí specifického nástroje, šetří drahocenný čas IT správce, umožňuje auditovat častěji, zjednodušuje celý proces a snižuje náklady na audit, a konečně i snižuje úroveň lidské chybovosti. Dnes neexistuje nástroj, který by dokázal pokrýt veškeré nároky bezpečnostního auditu, ale lze nalézt takové, které dokáží významně ulehčit.
Příkladem je GFI LanGuard, produkt známý především pro své schopnosti automatizovaného patch managementu. Nicméně jeho další funkčnost se zaměřuje na zjišťování zranitelností, a tak je schopen pomoci například při identifikaci hrozeb, inspekci serverů, identifikaci instalovaných operačních systémů, kontrole aktualizací OS a softwaru třetích stran, vyhledávání bodů s neautorizovaným přístupem apod. Řešení také pořizuje kompletní seznam aktivních zařízení ve firemních sítích včetně sériových čísel a dokáže identifikovat zalogované uživatele, běžící služby, možné zranitelnosti či otevřené TCP a UDP porty.
Užitečné tipy pro bezpečnostní audit
Aby splnil svůj účel, je třeba během bezpečnostního auditu dodržet některá pravidla. V první řadě je třeba zapojit do procesu uživatele, kteří představují asi tu nejzranitelnější část celého ekosystému. Je dobré zjistit co nejvíce informací o jejich zvycích, pracovních postupech či obavách a následně sdílet s nimi zjištěné výsledky bez ohledu na to, jak dramatické mohou být.
Maximum informací je vždy výhodou, protože nemůžete vyřešit problémy, které nevidíte. Výsledky jednotlivých auditů je třeba sledovat v čase a porovnávat, zda se zlepšují či zhoršují. Podobně je také užitečné vyhodnocovat nejen výsledky ale i samotné procesy auditu, zda stále pokrývají všechny důležité aspekty, popřípadě je upravovat dle aktuální bezpečnostní situace. A konečně je třeba vést pečlivou a stále aktuální dokumentaci, což také bývá jedním z důležitých cílů auditu.
Jozef Kačala Autor článku působí na pozici Vicepresident of Global Sales Engineering ve společnosti GFI Software. |
leden - 2025 | ||||||
Po | Út | St | Čt | Pá | So | Ne |
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 | 1 | 2 |
3 | 4 | 5 | 6 | 7 | 8 | 9 |
29.1. | Automatizujte bankovní transakce v SAP Business One... |
4.3. | Kontejnery v praxi 2025 |
25.3. | IT Security Workshop |
31.3. | HANNOVER MESSE 2025 |
13.5. | Cloud Computing Conference 2025 |
Formulář pro přidání akce
29.1. | Webinář: Efektivní řízení zákaznických vztahů: CRM... |
20.2. | Co jsou to ty DMSka |
9.4. | Digital Trust |
10.4. | Konference ALVAO Inspiration Day 2025 |