Jeśli jesteś właścicielem tej strony, możesz wyłączyć reklamę poniżej zmieniając pakiet na PRO lub VIP w panelu naszego hostingu już od 4zł!
Strony WWWSerwery VPSDomenyHostingDarmowy Hosting CBA.pl

Aby mówić o audycie informatycznym w pierwszej kolejności musimy przytoczyć jego definicje, a wiec: „Audyt informatyczny jest to proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane”. 
Jak wiec przeprowadzić audyt aby był on zgodny z przytoczona tu definicja? Nie jest to na pewno rzecz łatwa. Istnieją normy takie jak ITIL, ISO 9001 czy COBIT którymi można się kierować przy przeprowadzaniu audytu. Są one bardzo rozbudowanie dlatego jesteśmy wstanie w oparciu o nie przeprowadzić bardzo szczegółowy audyt. Oczywiście przeprowadzenie takiego audytu wymaga od audytora dokładnej znajomości przytoczonych tu norm oraz poświęcenia dużej ilości czasu co jest równoznaczne z dużymi kosztami. Jest to na pewno idealne rozwiązanie dla dużych korporacji bądź mniejszych firm w których z racji na dziedzinę która się zajmują taki audyt jest niezbędny.

 

Realia pokazują jednak ze w przypadku małych i średnich przedsiębiorstw oczekiwania są trochę inne. Z reguły audyt jest przeprowadzany w celu pozyskania ogólnej informacji o stanie posiadanej infrastruktury informatycznej ( bezpieczeństwie, legalności , zabezpieczaniu przed ewentualnymi awariami), który stanowi podstawę do oceny pracy działu informatycznego firmy bądź w przypadku korzystania z outsourcingu informatycznego firmy która te usługi świadczy. Przeprowadzenie takiego audytu jest dużo łatwiejsze, mniej czasochłonne a co za tym idzie o wiele tańsze.

Zakres audyty powinien obejmować kluczowe elementy infrastruktury informatycznej, jak np.:

  • analizę architektury sieci, a tu m.in.
    • Zabezpieczanie dostępu do sieci od strony LAN/WAN
    • Ograniczenie dostępu z zewnątrz tylko do usług które są wymagane (np. www, poczta, ftp)
    • Zabezpieczenie urządzeń sieciowych ( switche, routery), weryfikacja złożoności haseł dostępowych oraz fizyczne zabezpieczanie przed nie autoryzowanym dostępem
    • Odseparowanie od siebie sieci w poszczególnych działach w firmie poprzez VLAN
    • Weryfikacja zdalnego dostępu do zasobów firmy przez pracowników
    • Weryfikacja posiadania schematu sieci
  • analizę systemu backupowego :
    • Harmonogram wykonywania kopii bezpieczeństwa
    • Fizyczne zabezpieczenie nośników na których backup jest trzymany
    • Weryfikacja zasobów objętych backupem
    • Weryfikacja poprawności wykonywania backupu poprzez testowe odzyskanie
    • Weryfikacja posiadania procedury wykonywania kopii bezpieczeństwa oraz procedury odzyskiwania środowiska w przypadku awarii
  • analizę zabezpieczenia antywirusowego serwerów oraz stacji roboczych
  • analizę środowiska serwerowego:
    • serwerownia:
      • analiza kontroli dostępu do serwerowni
      • wyposażenie ( szafa rakowa, klimatyzacja, czujniki temperatury etc. )
    • awaryjne zasilanie serwerów oraz zautomatyzowanie sposobu zarządzania serwerami w przypadku przerwy w dostawie prądu
    • legalność posiadanego oprogramowania
    • zabezpieczenie sprzętowe przed wystąpieniem awarii
    • analiza poprawności konfiguracji usług jakie pełnią serwery
  • analizę stacji roboczych
    • weryfikacja legalności oprogramowania
    • weryfikacja uprawnień jakie użytkownik posiada na stacji
    • łatwość dostępu do stacji przez osoby nieuprawnione (logowanie, złożoność i ważność haseł)

Jest to oczywiście przykładowy i bardzo uproszony zakres audytu który dla każdej firmy musi zostać stworzony indywidualnie. W celu ograniczenia kosztów przeprowadzenia takiego audyt musi on zostać tak zaplanowany, aby wykonać go w jak najkrótszym czasie.

Następstwem przeprowadzenia audytu jest sporządzenie raportu. Raport przeznaczony jest dla osób zarządzających firma czyli z reguły mało technicznych dlatego opis i słownictwo użyte w raporcie powinno być zrozumiałe dla wszystkich. Raport powinien być zwięzły, czytelny i zawierać podstawowe składniki:

1. Opis stanu faktycznego. Jest to bardzo ważny element raportu. Bardzo często , nawet w małych firmach dochodzi do sytuacji, gdzie zarząd firmy nie wie jakie zasoby informatyczne posiada ( sprzętowe, programowe) i jaką funkcjonalności mógł by przy użyciu ich osiągnąć. Ponoszone są koszty na zakup nowych rozwiązań, które równie dobrze można by osiągnąć przy użyciu obecnie używanych zasobów.

2. Opis znalezionych nieprawidłowości. W informatyce nie ma jednego najlepszego rozwiązania gdzie odstępstwo od niego można by wskazać jako nieprawidłowość. Dlatego bardzo ważną kwestią ( a może i najważniejszą) jest podejście audytora do oceny środowiska. Nie powinna ona być robiona na zasadzie wyszukiwania owych odstępstw lecz na dogłębnej ich analizie i znalezienia powodów dla których one występują. Nie oceniona w takiej sytuacji jest pomoc ze strony osób odpowiedzialnych za środowisko informatyczne, które brały udział w jego powstawaniu i są w stanie dane rozwiązanie uargumentować.

3. Rekomendacje zmian. Jeśli przedstawiliśmy już słabe strony audytowanego środowiska należy zaproponować rozwiązanie które wpłynie na jego poprawę. Proponowane rozwiązania można podzielić na etapy, np.:

  • Krytyczne (zmiany które maja wpływ na bezpieczeństwo sieci, danych et.) są to te zmiany, które powinny być wprowadzone natychmiast
  • Opcjonalne – po zapoznaniu się ze sposobem działania firmy można zaproponować rozwiązania wpływające na poprawienie wydajności pracy.

W dobie powszechnej informatyzacji bardzo ważne jest zachowanie bezpieczeństwa IT w każdej organizacji. Łatwość użytkowania i powszechność Internetu sprawia, że dostęp do informacji przechowywanych w systemach informatycznych jest znacznie łatwiejszy. Niewłaściwe zabezpieczenia często skutkują utratą tajemnic firmowych, zawodowych, danych osobowych, innych informacji niejawnych. Jeśli dojdzie zaś do awarii sprzętu lub systemu informatycznego może to doprowadzić do niepożądanego przestoju w funkcjonowaniu firmy. Infrastruktura IT musi spełniać najwyższe standardy bezpieczeństwa. Odpowiednio przygotowane i przeprowadzone audyty informatyczne pozwalają na uniknięcie awarii i sytuacji kryzysowych w infrastrukturze IT firmy.

Autor: Andrzej Baranowski

Źródła:

  1. Opracowanie własne

 

Kanadyjska firma RIM (Research In Motion) jest producentem nie tylko samych telefonów, smartfonów a obecnie również tabletów, lecz także rozwiązań, które pozwalają na scentralizowane zarzadzanie tymi urządzeniami. Ma to kluczowe znaczenie w przypadku dużych firm. We wcześniejszym artykule opisałem proces instalacji w pełni darmowego serwera Blackberry Enterprise Server Express, który umożliwia nam taką funkcjonalność. W tym artykule postaram się opisać możliwości, jakie daje nam to oprogramowanie, sposób jego konfiguracji oraz konfiguracji samych terminali (telefonów/smartfonów).

 

Podstawową rzeczą jest wybór i zakup samego terminala. Nie jest to wbrew pozorom rzecz bardzo prosta. Operatorzy w Polsce nie oferują wszystkich modeli które oferuje RIM. W dodatku oferowane modele różnią się nawet miedzy operatorami. Jeśli już jednak wybierzemy odpowiadający nam terminal musimy wybrać jaki rodzaj usługi aktywować u operatora by nasze Blackberry mogło współpracować z zainstalowanym na naszych serwerach oprogramowaniem. Do wyboru mamy dwie usługi BIS oraz BES. Jaka jest różnica miedzy nimi? Oczywiście poza ceną (na korzyść usługi BIS) z naszego punktu widzenia jedyna różnicą jest sposób aktywacji naszego terminala w systemie naszej firmy. O ile przy usłudze BES wystarczy uruchomić terminal z kartą SIM na której działa usługa i w odpowiednim miejscu wpisać firmowy adres email oraz kod aktywacyjny to przy usłudze BIS proces ten jest już trochę bardziej skomplikowany. W dalszej części artykułu zostaną opisane bardziej szczegółowo sposoby aktywacji.

Dla każdego użytkownika, który chce mieć skonfigurowaną swoją firmową skrzynkę na terminalu, musimy założyć konto w naszym systemie. W tym celu wchodzimy do panelu zarzadzania aplikacją BESx przez stronęhttps://adres_serwera:3443/webconsole/login (port na którym działa panel był ustawiany podczas instalacji, domyślenie ma on wartość 3443).

usługi informatyczne dla biznesu

Schemat 1 - Zakładanie konta

Przy tworzeniu użytkownika możemy od razu zdefiniować czy zakładamy tylko samego użytkownika, czy użytkownika z konkretnym hasłem (oraz ustalić czas ważności hasła), czy tez użytkownika z wygenerowanym automatycznie hasłem ( w tym przypadku automatycznie wygenerowane hasło zostanie wysłane mailem do użytkownika któremu zakładamy konto).

DO CZEGO POTRZEBNE JEST HASŁO AKTYWACYJNE?

W przypadku gdy użytkownik ma wykupioną usługę BES u operatora, w celu przypisania terminalu do swojej skrzynki e-mail wystarczy że w opcjach terminala wybierze pozycje „Aktywacja”, wpisze swój adres email oraz kod aktywacyjny. Od tego czasu poczta, kontakty, wpisy w kalendarzu będą automatycznie synchronizować się miedzy skrzynką a terminalem

W przypadku usługi BIS nie jest już tak łatwo. Aby aktywować terminal musimy założyć konto, podpiąć terminal do komputera (USB, Bluetooth), następnie na tym komputerze zalogować się do panelu administracyjnego (Schemat nr 1), i w lewym menu wybrać „Attached Device”. Powinno wyświetlić nam się podłączone urządzenie. Następnie możemy wybrać użytkownika do którego chcemy przypisać urządzenie. Na wyświetlaczu terminala powinna wyświetlić się informacja o stanie aktywacji. Gdy wszystko zakończy się powodzeniem odpinamy urządzenie i od tej pory skrzynka aktualizuje nam się na bieżąco.

Takie rozwiązanie aktywacji przy usłudze BIS działa ale wymaga zaangażowania administratora, co nie zawsze jest możliwe np. gdy firma posiada przedstawicieli terenowych. W takim przypadku istnieje inna możliwość aktywacji. Oprogramowanie Blackberry Enterprise Server Express daje nam takie narzędzie jak panel użytkownika. Każda osoba która posiada swoje konto może zalogować się przez przeglądarkę internetową do swojego indywidualnego konta używając autentykacji domenowej, wymogiem jest dodanie takiego użytkownika do wbudowanej grupy Blackberry Web Desktop Manager (schemat nr 2).

usługi informatyczne dla biznesu

Schemat 2 - BlackBerry Web Desktop Manager

PANEL UŻYTKOWNIKA

Po podłączeniu urządzenia do komputera wychodzimy do swojego panelu (schemat 3). Proces aktywacji powinien rozpocząć się sam po zalogowaniu. Aktywacje najlepiej jest przeprowadzać z użyciem przeglądarki Internet Explorer, a stronę na której dostępny jest panel dodać do „zaufanych witryn” w ustawieniach IE.

usługi informatyczne dla biznesu

Schemat 3 - Panel użytkownika

Przy użyciu owego panelu poza aktywacją użytkownik może skonfigurować kilka przydatnych elementów:

  • Stopka, która będzie dodawana do każdej wysyłanej wiadomości.
  • Filtrowanie przychodzących wiadomości email.
  • Możliwość wyboru które foldery utworzone w skrzynce maja się synchronizować.
  • Backup naszego terminala.

Mamy już więc aktywowane urządzenie które odbiera i wysyła firmową pocztę oraz synchronizuje nasze kontakty. Teraz skupimy się na cześć konfiguracyjnej. Oprogramowanie BESx daje nam bardzo dużo możliwości przy konfiguracji urządzeń, jak choćby wyłącznie/włączenie wi-fi, kamery, zablokowanie instalacji aplikacji etc. W tym artykule skupimy się na kilku z nich.

KONFIGURACJA TERMINALI

W pierwszej kolejności chcemy zadbać o bezpieczeństwo danych przechowywanych na terminalu. Jeśli zdarzyła by się sytuacja, ze któryś z naszych użytkowników zgubi terminal bądź zostanie on skradziony to wówczas możemy zdalnie wyczyścić urządzenie. Zanim to jednak nastąpi ktoś może już uzyskać dostęp do tych danych. Dlatego warto zabezpieczyć urządzenie hasłem. Gdy nie korzystamy z terminala - powinien on po kilku minutach zablokować się samoczynnie. Do odblokowania powinien wymagać hasła, najlepiej o określonej złożoności i wymagającego zmiany co pewien czas.

W panelu administracyjnym (schemat 1) wypieramy „Create an IT policy” a następnie nadajemy jej jakąś nazwę. Następnie przechodzimy do edycji naszej polisy (schemat 4).

usługi informatyczne dla biznesu

Schemat 4

Ustawienia odpowiedzialne za zabezpieczenie terminala hasłem znajdziemy w zakładce „Device only”. Wybieramy tutaj czy hasło jest wymagane, minimalną długość i złożoność hasła, czas po jakim zostanie urządzenie zablokowane oraz jak często hasło trzeba zmieniać.

W kolejnych zakładkach możemy ustawić wiele innych opcji które uważamy za potrzebne w naszym środowisku. Tak przygotowana polisę musimy przypisać do użytkowników. Możemy to zrobić na dwa sposoby:

  • przypisać bezpośrednio do konta danego użytkownika co robimy w edycji konta użytkownika,
  • utworzyć grupę i przypisać do niej polisę, polisa zostanie wtedy przypisana do każdego członka grupy.

Na rozdystrybuowanie naszej polisy na terminale będziemy musieli trochę poczekać. Domyślnie czas ten ustawiony jest na 1 godzinę.


Autor: Andrzej Baranowski

Źródła:

  1. Opracowanie własne

Rozwiązania online dla biznesu, czyli w tak zwanej „chmurze”, stają się coraz bardziej popularne. Ponadto infrastruktura IT w firmach składa się często z wielu urządzeń komunikujących się z zewnętrznym otoczeniem, co podnosi ryzyko ataków. Firma ESET - globalny dostawca oprogramowania zabezpieczającego komputery firm, wprowadziła na rynek usługę w chmurze, która zwiększa bezpieczeństwo sieci firmowej. Niniejszy artykuł opisuje pokrótce działanie usługi, konfigurację oraz możliwość jej przetestowania.



EVA – JAK TO DZIAŁA?

ESET Vulnerability Assessment czyli usługa oceniająca ryzyko ataku jest dostępna przez przeglądarkę internetową. Nie ma potrzeby instalowania żadnego oprogramowania na serwerach czy innych elementach infrastruktury w firmie. Za pomocą specjalistycznych narzędzi EVA wykrywa ponad 46 000 różnych podatności i luk w wykorzystywanych urządzeniach sieciowych czy działających usługach, w tym ponad 16 000 sklasyfikowanych przez CVE oraz ponad 10 000 sklasyfikowanych przez Bugtraq.

outsourcing IT dla biznesu

Rozpoczynamy pracę z usługą. W tym celu należy zalogować się przez przeglądarkę do usługi. Dane do logowania Klient określa sam. ESET tworzy klientowi konto w programie i wysyłany jest do klienta e-mail aktywujący. Po kliknięciu w link zawarty w e-mailu klient sam definiuje sobie hasło. Następnie należy wskazać jakie usługi i urządzenia chcemy przeskanować. EVA skanuje tylko te elementy, które posiadają publiczny adres IP. Do takich elementów infrastruktury zaliczamy m.in. firewalle, koncentratory VPN, modemy i routery, serwery, terminale zdalnego dostępu (RDP, VNC, Citrix), cache DNS, serwery Web, serwery FTP, serwery plików, baz danych, telefony, bramy i urządzenia do wideokonferencji. Adresy IP wprowadzamy raz, po ponownym uruchomieniu lista powinna zostać zapisana i należy tylko uruchomić skanowanie. W ramach konfiguracji, poza definicją IP, należy wskazać czy skanowanie ma dotyczyć tylko otwartych portów czy też ma być to pełne skanowanie. Harmonogram skanowania określa częstotliwość uruchamiania usługi. Skanowanie może również zostać uruchomione w każdej chwili na żądanie użytkownika.

Po wykonanym skanowaniu usługa generuje raport na temat znalezionych podatności na zagrożenia. Każdy raport jest generowany na platformie online i później archiwizowany. Można go również wyeksportować i przechowywać na własnych nośnikach bądź w formie papierowej. Poza możliwościami ataków, w raporcie opisany jest również sposób w jaki atakujący może wykorzystać lukę oraz jak można się przed tym zabezpieczyć. Na koniec raportu przedstawiony jest wykaz obecnie otwartych portów.

outsourcing IT dla biznesu

DLACZEGO EVA?

Zastosowanie rozwiązania skanującego w chmurze ma wiele zalet. Do najważniejszych zaliczamy:

  • Łatwy dostęp do usługi online.
  • Wiarygodna kompleksowa ocena podatności na zagrożenia oraz możliwość zarządzania nimi.
  • Zagrożenia są wykrywane w czasie rzeczywistym.
  • Usługa integruje się z innymi systemami obowiązującymi w firmie (helpdesk, systemy kontroli wewnętrznej). Pozwala to na sprawny przepływ informacji oraz szybką reakcje w sytuacjach krytycznych.
  • Usługa jest dostępna bez względu na wielkość organizacji czy też sektor działania.
  • Łatwość obsługi.
  • Automatyczne raporty.

ESET Vulnerability Assessment to usługa przeznaczona tylko dla sektora biznesowego. Przedsiębiorca nabywając licencje nabywa również pełne wsparcie techniczne. Produkt można kupić na okres 1 roku, 2 lub 3 lat. W tym czasie klient może dokonać dowolną ilość skanowań dla ok. 50 różnych adresów IP. Standardowa cena licencji na rok aktualnie wynosi 2 000 zł netto. Firmy, które posiadają biznesową wersję ESET’a mogą liczyć na rabat.

Każda firma i instytucja może przetestować to rozwiązanie za darmo przez okres 30 dni. W celu zabezpieczenia swoich interesów, ESET wprowadził ograniczenie w testach. Polega ono na tym, że klient nie widzi raportu wygenerowanego z jego sieci tylko przykładowy raport jaki stworzył ESET.

 

Artykuł opracowała  Karolina Stryjek we współpracy z firmą DAGMA Sp. z o.o.

 

Źródła:

  1. Opracowanie własne
  2. http://www.eset.pl

 

EVA jest rozwiązaniem nowym i rozwijającym się w zakresie swoich możliwości. Więcej informacji na temat tego produktu oraz innych zabezpieczeń zasobów firmowych w zakresie IT oferuje Support Online.  

Jeśli jesteś zainteresowany bezpieczeństwem IT lub innymi usługami informatycznymi skontaktuj się z nami:

Support Online Sp. z o.o.

tel.  + 22 335 28 00                         

e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.                                

www.support-online.pl

Popularne