reklama
"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację. popularne
Najczęściej czytane
- Ukryta wiadomość w logo jednostki do walki z cyberterroryzmem (czytane 5185 razy)
- Nowe narzędzia do łamania GSM (czytane 3608 razy)
- CRASH - system odpornościowy dla sieci (czytane 3560 razy)
- Jeden z deweloperów włamał się do App Store i iTunes (czytane 3508 razy)
- Przynęty na hakerów (czytane 3308 razy)
Biblioteka Wiedzy poleca
Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI
Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »
Raport o internetowych zagrożeniach bezpieczeństwa
"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »
Implementing IBM Systems Director 6.1
Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »
powiększ tekst 
ARCHIWUM
Ustawiczne korygowanie kursu
6 lutego 2007
Jarosław Ochab, Przemysław Gamdzyk, Andrzej Maciejewski Prawie wszystko o audycie, bezpieczeństwie i zarządzaniu IT - to hasło dość dobrze oddawało zawartość merytoryczną naszej konferencji SEMAFOR.Prawie wszystko o audycie, bezpieczeństwie i zarządzaniu IT - to hasło dość dobrze oddawało zawartość merytoryczną naszej konferencji SEMAFOR.
Konferencja SEMAFOR, spotkanie współorganizowane przez Computerworld oraz polskie oddziały organizacji ISACA (stowarzyszenie ds. audytu i kontroli systemów IT) i ISSA (stowarzyszenie ds. bezpieczeństwa systemów informacyjnych), zgromadziła doborowe grono menedżerów z dużych polskich firm i instytucji zajmujących się wspomnianymi trzema obszarami. Bezpieczeństwo, audyt i IT Governance stanowią bowiem przenikające się i współzależne obszary, kluczowe dla funkcjonowania IT w nowoczesnych organizacjach.
Waldemar Kasinow, wiceprezes zarządu Pekao Financial Services Erik Guldentops, gość specjalny konferencji, doradca zarządów IT Governance Institute i ISACA, przywołał źródłosłów określenia Governance, które pochodzi od greckiego słowa "kubernan", oznaczającego sterowanie okrętem, czyli proces ustawicznego określania i korygowania kursu. Podobnie ład informatyczny, bo tak można tłumaczyć IT Governance, to nie stan statyczny, ale proces podążania do przodu tam, gdzie cel nie jest do końca dobrze znany, drogą, która nie jest do końca określona. Informatyka w przedsiębiorstwie ma zarówno podążać za biznesem, jak i nadawać mu kierunek w tej trudnej podróży. Audyt jest istotnym wsparciem i informacją dla IT Governance, zaś bezpieczeństwo elementem niezbędnym do poprawnego funkcjonowania IT w firmie.
Droga przez audyt
Audyt zawsze stanowi dla firmy obciążenie, nie jest działaniem bezinwazyjnym. Ponadto jego koszty są wysokie, zaś znajdujące się w końcowym raporcie rekomendacje audytora mogą przynieść daleko idące zmiany. "Dlatego konieczne jest bezpieczne przejście przez bezpieczny audyt" - przekonywali Radosław Kaczorek, przewodniczący zarządu ISACA oraz Waldemar Kasinow, wiceprezes zarządu Pekao Financial Services, podczas wspólnej prezentacji najważniejszych etapów audytu systemów IT. Należą do nich wyraźnie określone cele, zakres i cena audytu, starannie uszczegółowiona umowa, omówiony podział ról i zadań podczas audytu, a także ustalenie sposobu raportowania wyników. Dobra komunikacja pomiędzy audytorem zewnętrznym i audytowanym to decydujący czynnik powodzenia całego badania.
Od samego początku audytor i audytowany powinni być partnerami w procesie zarządzania. Dobrze, gdy firma oczekuje od audytora pomocy przy poprawie pewnych elementów jej działania, nie traktuje audytu jako kontroli, rozumie, że jest on oceną procesów, nie zaś ludzi. Strony na wstępie powinny się umówić, czy celem przeprowadzanego według standardów audytu jest tzw. pozytywne zapewnienie, czyli stwierdzenie, że zbadane elementy czy procesy działają bez zarzutu, czy może odwrotnie - wykazanie słabych punktów organizacji wraz z wydaniem rekomendacji jak je naprawić. Audytor może wykonać także trzeci rodzaj badania poprzez tzw. uzgodnione procedury z audytowanym. W każdym z tych trzech przypadków musi przestrzegać zawodowej staranności i kodeksu etyki. Należy pamiętać, że zakres, technika i cena badania zależą od adresata raportu końcowego.
Na dostępne oprogramowanie do wspomagania audytu nie wystarczy obecnie patrzeć jedynie z perspektywy przeprowadzania corocznego audytu bezpieczeństwa systemów IT. Ukształtowała się już grupa aplikacji, które pozwalają na bieżące monitorowanie bezpieczeństwa i zgodności. Nie są one jednak tożsame z narzędziami, którymi posługuje się administrator, non stop kontrolujący bezpieczeństwo podlegającego mu systemu. Audytor pozostaje osobą niezależną od monitorowanych przez siebie informatycznych obszarów firmy. Dobór odpowiedniego dla niego narzędzia powinien być poprzedzony poznaniem dostępnej oferty rynkowej.
Świadomość bezpieczeństwa
Erik Guldentops, doradca zarządów ISACA i IT Governance Institute, twórca standardu Cobit Polskie przedsiębiorstwa średnio ok. 10% budżetów teleinformatycznych przeznaczają na bezpieczeństwo, z czego zdecydowanie najwięcej, aż kilkanaście procent, banki i instytucje finansowe. Ponadto coraz większy jest odsetek firm posiadających spisaną formalnie politykę bezpieczeństwa. Na rynku wciąż funkcjonują jednak spółki, które nie widzą potrzeby jej wdrożenia. Ich odsetek sięga blisko 7% - wynika z badań firmy Audytel.
W grupie dużych przedsiębiorstw blisko 70% firm ma spisane formalnie zasady bezpieczeństwa informatycznego, a dalsze 30% planuje ich wdrożenie w niedługim czasie. Opisaną i przyjętą w ramach przedsiębiorstwa politykę bezpieczeństwa IT realizuje się najczęściej w ten sposób, by odpowiednie konfiguracje aplikacji, serwerów i stacji roboczych wymuszały jej realizowanie.
Na jakie bariery we wdrażaniu planów bezpieczeństwa najczęściej natrafiają przedsiębiorstwa? Tradycyjnie na pierwszym planie jest niska świadomość użytkowników. Jednakże nie sposób się temu dziwić, gdyż jak wynika z badania Audytela, nadal w wielu przypadkach nie praktykuje się rozsyłania pisemnych instrukcji do pracowników. Można również przypuszczać, że podejmowanie szkoleń lub innych regularnych działań w celu utrwalenia zasad bezpieczeństwa wśród pracowników należy w Polsce do rzadkości. Drugim z najczęściej wymienianych problemów jest niski budżet. Ten czynnik w badaniach prowadzonych w 2006 r. wskazała ponad połowa respondentów. Działom IT brakuje także zasobów ludzkich. Problemy kadrowe można po części uznać za pochodną braku dostatecznego wsparcia ze strony kierownictwa dla przedsięwzięć w obszarze bezpieczeństwa.
Te firmy, które nie zdecydowały się na zakup kompleksowych rozwiązań do ochrony, narzekają na skomplikowaną integrację produktów. Mimo wysiłków dostawców mających na celu wprowadzenie większej automatyzacji procesów ochrony środowiska IT, stopień skomplikowania tych rozwiązań rośnie szybciej niż wiedza odbiorców tego typu systemów. Natomiast w obszarze bieżącego zarządzania systemami bezpieczeństwa korzystanie z usług outsourcingowych deklaruje jedynie 13% firm.
Tekst pochodzi z serwisu Computerworld
|
Wystaw ocenę:
|
Średnia ocena (liczba głosów: 1) |
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
Komentarze
Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
Ten artykuł nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...
04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2010 IDG Poland SA
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2010 IDG Poland SA
