Зачем нужен аудит информационной безопасности бизнеса
Многие руководители компаний разных форм собственности не владеют информацией о том, в каких случаях и как часто следует проводить внешний аудит информационной безопасности своей фирмы? На этот вопрос может ответить созданный документ под названием: «Политика информационной безопасности предприятия». Если такого документа и, тем более, политики не существует, то не следует откладывать процесс их создания.
После завершения первого аудита бизнесмен получит не просто какой-то пакет документации по информационной безопасности, но и сможет увидеть слабые и сильные стороны всей системы, бизнес-процессов, в результате чего можно будет эффективно управлять рисками, оптимально расходуя средства для содержания ИТ-инфраструктуры.
Специалисты рекомендуют включать предпринимателям в годовой план проведение постоянных внешних контрольных проверок, связанных с информационной безопасностью. Правда, полноценным аудитом такие проверки назвать нельзя, так как их задачами будут:
• анализ актуальности ранее выявленных угроз;
• возможное появление новых рисков;
• оценка достаточности принятых мер;
• оценка реализации соответствующих рисков за прошедшие периоды.
Стоимость проведения подобных проверок намного ниже полноценно проводимого аудита, а вывешенный график проверок хорошо дисциплинирует сотрудников ИТ-подразделения компании, т.к. никому из них не хочется лишиться части своей зарплаты в случае выявления в ходе проверок нарушений политики информационной безопасности организации. Наличие проверяющих, именно со стороны, не позволит оказать влияние на сделанные ими выводы.
Повторно проведённый полноценный аудит информационной безопасности может понадобиться после осуществления значительных изменений, происходящих в бизнес-процессах компании, её ИТ-инфраструктуре, основных приложениях, системном программном обеспечении, а также во внедрениях новых сервисов.
Кроме того, полноценный аудит нужно провести вступающему в должность руководителю ИТ-департамента компании. Анализ текущей ситуации и её понимание позволят более эффективно спланировать работу, направив максимальные усилия средств и ресурсов именно туда, где они необходимы в соответствующий момент времени. После минимизации текущих рисков может отпасть необходимость, связанная с постоянным латанием дыр. В результате можно будет направить необходимые усилия на развитие ИТ-инфраструктуры, что даст возможности для роста бизнеса.
Подробнее о информационной безопасности http://efsol.ru/it-services/it_sec.html