arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
22.09.2020

Małe i średnie przedsiębiorstwa nie dbają o bezpieczeństwo systemów komputerowych

Adam Dębski

Każdy przedsiębiorca używający w swojej działalności systemów komputerowych, stron www lub aplikacji mobilnych powinien zadać sobie bardzo istotne pytanie. „Czy chcę znać słabe strony swoich systemów?” Raporty branżowe wskazują na to, że mniej więcej połowa polskich firm poniosła straty finansowe związane z działalnością cyberprzestępców. Jednak przedsiębiorcom chodzi nie tylko o podatność systemów na włamania ale także o ich skuteczność, efektywność oraz dostosowanie do potrzeb i strategii przedsiębiorstwa. System oparty na serwerze skonfigurowanym przez znajomego informatyka i laptopach kupowanych w supermarketach może mieć wiele istotnych słabości. Niestety jest to powszechny problem w polskich małych i średnich przedsiębiorstwach.

Przedsiębiorca nie mający wykształcenia informatycznego często może w ogóle nie zdawać sobie sprawy z tego, że system działa niewłaściwie i jest powodem strat dla przedsiębiorstwa. Odpowiedzią na te problemy jest okresowe przeprowadzanie audytów systemów komputerowych.

Profesjonalnie przeprowadzony audyt powinien brać pod uwagę takie czynniki jak charakterystyka branży, w której działa przedsiębiorstwo czy najnowsze trendy w otoczeniu konkurencyjnym i prawnym. Inaczej mówiąc, chodzi nie tylko o to jak działa system komputerowy ale również o to czy jest on właściwie wykorzystywanym narzędziem dla realizacji celów przedsiębiorstwa. Na przykład identyfikacja niewłaściwych procedur stosowanych przy pozyskiwaniu lub obsłudze klientów może przyczynić się do natychmiastowej poprawy sytuacji finansowej przedsiębiorstwa.

Z technicznego punktu widzenia w trakcie audytu systemu komputerowego należy zbadać: aktualność i wydajność systemów i aplikacji; wydajność urządzeń, w tym stacji roboczych, serwerów i sieci; bezpieczeństwo danych; zachowanie użytkowników systemu.

Audyt powinien być zakończony raportem wskazującym istotne zagrożenia oraz sugerującym konieczne do podjęcia działania. Konieczna może być wymiana elementów infrastruktury, instalacja nowych aplikacji oraz szkolenie personelu.

W zależności od potrzeby, elementem audytu mogą być na przykład testy penetracyjne systemów, stron WWW oraz aplikacji mobilnych. W ich ramach audytorzy przeprowadzają kontrolowany atak na zasoby informatyczne przedsiębiorstwa. Specyficzną formą testów penetracyjnych są testy w socjotechniczne, podczas których sprawdza się stosowanie procedur przez pracowników. W zgodnej opinii specjalistów, pracownicy stanowią najsłabsze ogniwo w zakresie bezpieczeństwa systemów.

Często konieczna jest też weryfikacja zgodności systemu informatycznego z przepisami rozporządzenia RODO. W przypadku gdy przedsiębiorstwo gromadzi i przetwarza dane osób fizycznych, ewentualne naruszenia lub włamania mogą być przyczyną roszczeń ze strony osób, których dane dotyczą. Osobnym problemem jest odpowiedzialność administracyjna przed władzami regulacyjnymi.