MCI Managment S.A. chcę przeznaczy do 1,2 mln zł na tworzenie ogólnopolskiej sieci bezprzewodowego dostępu do internetu poprzez hot-spoty. W tym celu wykupiła większościowy pakiet udziałów w spółce Hotlan – poinformował w poniedziałek dyr. ds. inwestycji MCI Managment Marek Piątkowski.

„Na początku przyszłego roku chcemy uruchomić pierwsze 30 hot-spotów – punktów bezprzewodowego dostępu do internetu drogą radiową przy wykorzystaniu technologii Wi-Fi. Przez pierwszy rok działalności chcemy się skupić na 10 największych miastach Polski oraz miejscowościach turystycznych” – powiedział Piątkowski.

Dodał, że wraz z rozwojem rynku spółka będzie chciała także budować hot-spoty w mniejszych miejscowościach.

Źródło informacji: PAP

Zgodnie z wynikami nowego badania grupy IDC, dotyczącego wpływu sektora IT na rozwój gospodarki, branża informatyczna jest wciąż główną siłą napędową w krajach europejskich, Bliskiego Wschodu oraz regionie Afryki (EMEA). Sondaż zwraca uwagę na fakt, że działalność powiązana z branżą informatyczną w 19 krajach stanowiła źródło około 9 milionów miejsc pracy, z czego 36 proc. przypadło na firmę Microsoft i sieć jej partnerów. Sektor informatyczny wniósł też ponad 200 milionów dolarów wpływu do budżetu z tytułu podatków.

Economic Impact Study ma weryfikować wielkość wpływu sektora IT na tworzenie miejsc pracy, zakładanie firm, lokalnych wydatków na informatykę oraz przychodów z tytułu podatków w wybranych krajach regionu EMEA. Trzecia edycja projektu objęła takie kraje jak: Austria, Czechy, Dania, Estonia, Francja, Niemcy, Węgry, Irlandia, Izrael, Włochy, Litwa, Holandia, Polska, Portugalia, Rosja, Południowa Afryka, Hiszpania, Turcja oraz Wielka Brytania.

Sonda wykazała też, że około 19 milionów ludzi w tych krajach jest zatrudnionych w ponad 356 000 firm zajmujących się sprzedażą, produkcją lub dystrybucją sprzętu komputerowego i oprogramowania oraz związanymi z tym usługami. W liczbie tej autorzy uwzględnili również specjalistów IT, pracujących w przedsiębiorstwach innych sektorów. Jednocześnie ponad połowa przychodu z tytułu podatków z sektora IT w krajach – respondentach pochodzi z związanej z produkcją oprogramowania.

„Sektor informatyczny jest dynamicznym czynnikiem globalnej gospodarki – jego wpływ może być odczuwalny na każdym poziomie, począwszy od Unii Europejskiej, a skończywszy na gospodarstwach domowych” – powiedział John Gantz, szef działu badawczego IDC. „Sektor IT znów odnotowuje dodatnie wskaźniki w tych regionach i po raz kolejny będzie stanowił motor wzrostu zarówno zatrudnienia jak i przychodów podatkowych dla gospodarek lokalnych”.

Jednocześnie badanie wykazało, że zatrudnienie związane z działalnością Microsoft kształtuje się na poziomie od około 36 000 osób zatrudnionych na terenie Węgier i Turcji, do ponad pół miliona w Wielkiej Brytanii i Niemczech. W 2004 roku ekosystem firmy Microsoft stanowił więcej niż jedną trzecią zatrudnienia i przychodów podatkowych w badanych krajach. Ponadto na każdy dolar przychodu Microsoft w tym regionie przypada kolejne 7,50 dolara wygenerowane przez inne firmy handlujące sprzętem komputerowym lub oprogramowaniem, które działają w oparciu o system operacyjny Microsoft lub serwisujące to oprogramowanie.

„Dane odnoszące się do zatrudnienia przedstawione przez IDC ilustrują ogólne korzyści gospodarcze płynące z przemysłu IT, a w szczególności z ekosystemu firmy Microsoft złożonego z partnerów i klientów w tych krajach. Cała sieć firm daje ogólnie zatrudnienie ogólnie 36 procentom specjalistów z sektorów IT badanych krajów, generując znaczący przychód dla rządów państw EMEA” – powiedział Steve Ballmer, prezes Microsoft Corp.

Co więcej spodziewany jest wzrost wpływu przemysłu informatycznego. Szacuje się, że w ciągu kolejnych czterech lat sektor IT w EMEA stworzy 2 miliony nowych miejsc pracy oraz przyniesie dodatkowe 160 miliardów dolarów przychodów budżetowych.

Dane liczbowe dotyczące wydatków odnoszą się do finansowania zakupu sprzętu komputerowego i oprogramowania oraz serwisowania, ponoszonych przez firmy, rządy oraz instytucje edukacyjne w każdym kraju.

Wartości dotyczące przychodów podatkowych oparto na przewidywanym podatku VAT lub podatku z tytułu sprzedaży w handlu sprzętem komputerowym, oprogramowaniem, serwisie, jak również podatków od firm i osób fizycznych oraz podatków socjalnych.

Zatrudnienie w sektorze IT zawierało liczbę osób zatrudnionych w pełnym wymiarze godzin w firmach zajmujących się sprzętem komputerowym, oprogramowaniem, serwisem oraz dystrybucją, a także osoby zarządzające zasobami IT w innych firmach (np. programiści, pracownicy działu pomocy technicznej oraz menadżerowie ds. IT).

Poznański informatyk wykrył błędy w języku oprogramowania wykorzystywanym w większości telefonów komórkowych na świecie. Dzięki nim można przechwycić informacje zapisane w komórkach.

Cztery miesiące zajęło Adamowi Gowdiakowi z Poznańskiego Centrum Superkomputerowo Sieciowego znalezienie błędów w Javie. Ten język komputerowy wykorzystuje się do tworzenia np. gier komputerowych, z których mogą korzystać posiadacze części komórek. Dwie luki odkryte przez Gowdiaka pozwalają nawet skasować oprogramowanie, które znajduje się w telefonie. Poznański informatyk stworzył specjalny program dla telefonów Nokii: dzięki niemu udało mu się wykasować pamięć telefonu, połączyć się z internetem i wydobyć z komórki spis telefonów i treść SMS-ów. Na szczęście błędy nie pozwalają przejąć zdalnie kontroli nad aparatem.

Gowdiak wysłał w sierpniu informacje o błędach do firmy Sun, producenta Javy. W ciągu dwóch tygodni powstało uaktualnienie oprogramowania – pojawi się ono w nowych telefonach, wyprodukowanych po wrześniu 2004 roku. Posiadacze starszych telefonów powinni uaktualnić oprogramowanie w aparatach.

„Na razie nie spotkaliśmy się z próbami wykorzystania tej luki” – zapewnia w serwisie CNet Eric Chu z Sun, dyrektor marketingu oprogramowania Java. Sun nie opublikował informacji o luce, uznając, że to producenci komórek powinni poinformować klientów.

Jak prognozują analitycy w 2004 roku na całym świecie zostanie sprzedanych 570 mln komórek. Co trzecia z nich będzie obsługiwała Javę.

Źródło informacji: Gazeta.pl

Z badania przeprowadzonego przez MSN Search wynika, że większość mężczyzn w przypadku jakiejś wątpliwości woli zapytać wyszukiwarkę internetową niż zwrócić się o pomoc do sympatii, kolegi z pracy czy rodziny.

Blisko połowa uczestniczących w badaniu mężczyzn przyznała, że pierwszym źródłem informacji w przypadku jakiejś wątpliwości jest wyszukiwarka, jedna trzecia wskazała na rodzinę, a zaledwie co czwarty Pan radzi się u swojej życiowej wybranki. Z kolei panie są zdecydowanie większymi zwolenniczkami tradycyjnych sposobów radzenia się, jedna trzecia wskazała na rodzinę. Z kolei panie dużo bardziej ufanie podchodzą do internetu w kwestiach porad zdrowotnych – prawie dwie trzecie respondentek regularnie sprawdza swój stan zdrowia w sieci. W przypadku panów ten odsetek wynosi tylko 41%.

W przypadku posługiwania się internetem panów cechuje dużo większa próżność. Blisko jedna trzecia panów wpisuje w wyszukiwarkę swoje imię i nazwisko, a aż 80% przedstawicieli płci brzydkiej jest zadowolonych z posiadanych umiejętności znajdowania potrzebnych informacji. W przypadku kobiet zaledwie co piąta liczy na znalezienie się w internecie.

Typowe męskie zapytanie składa się z dwóch wyrazów, podczas gdy panie pytają trzema wyrazami. Panie cechują się także większą cierpliwością, bowiem sprawdzaj średnio sześć do siedmiu wyników wskazanych przez wyszukiwarkę, podczas gdy mężczyźni nie przekraczają trzech linków. Kobiety średnio poświęcają wyszukaniu potrzebnej informacji ok. pięć minut, panowie nie więcej niż trzy minuty.

Źródło informacji: Vnunet

Fundacja Wspierania Edukacji Informatycznej „Proidea” zaprasza na Ogólnopolską Konferencję „meetBSD” – spotkanie z tematyką dotyczącą rodziny systemów operacyjnych BSD.

Konferencja odbędzie się w dniu 27 listopada 2004 roku (sobota) w Hotelu Sympozjum w Krakowie o godz. 10.00.

Jako prelengenci wystąpią: Jacek Artymiak, Łukasz Bromirski, Paweł Jakub Dawidek, Rafał Jaworowski, Jakub Klausa, Tomasz Luchowski, Paweł Rutkowski, Dawid Szymański oraz Sławomir Żak.

Sesje tematyczne to przede wszystkim:

PF + CARP: Firewall 24×7 na platformie OpenBSD / konfiguracja, instalacja, zastosowania
Instalacja i konfiguracja systemu OpenBSD na komputerach Soekris
Routing dynamiczny w sieciach firmowych i osiedlowych w oparciu o pakiet quagga
BGP blackholing – co to jest, z czym to jeść i dlaczego warto?
Raport o FreeBSD 5.X
GEOM – In Infrastructure We Trust
FreeBSD/PowerPC dla systemów embedded (wbudowanych)
FreeBSD & WiFi. Narzędzia, możliwości, wardriving, wykrywanie rough AP, bezpieczeństwo i niebezpieczeństwo
HotSpot WiFi – tworzenie i zarządzanie przy pomocy OpenBSD
NetBSD – co nowego?
Scsh – lepsze skrypty systemowe
Znaczenie automatyzacji w utrzymaniu rozległego heterogenicznego
środowiska unixowego

Niestety ze względu na jednodniowy charakter konferencji nie wszystkie tematy zmieszczą się w jej ramach. Szczegółowa agenda jest już w przygotowaniu i lada dzień powinna być dostępna.

Zgłoszenia należy kierować na adres konferencja@meetbsd.org po uprzednim dokonaniu opłaty konferencyjnej. Opłata ta w całości pomoże pokryć koszta organizacyjne (wynajmu sali, sprzętu audio/video, napojów, identyfikatorów, pamiątkowych gadżetów, kosztów własnych prelegentów itp).

Koszt uczestnictwa w konferencji do 10 listopada 2004 roku wynosi 80,- PLN natomiast po 10 listopada 2004 roku 130,- PLN. Ilość miejsc ograniczona.

Ze względów organizacyjnych zgłoszenia przyjmowane będą w nieprzekraczalnym terminie do 20 listopada 2004 roku.

Szczegółowe informacje na stronie konferencji.

Użytkownicy systemu operacyjnego Linux z jądrem serii 2.6 i wykorzystujący do zabezpieczania komputera program Iptables powinny zaktualizować oprogramowanie, bowiem posiada ono lukę umożliwiającą zdalne wykonanie kodu i przeprowadzenie ataku typu „denial of service”.

Dziura, odkryta przez Richarda Harta, nie występuje w jądrze systemu w wersji 2.4 i późniejszej. Błąd jest związany z przepełnieniem bufora przy logowaniu do programu Iptables i umożliwia hakerowi zdalne zablokowanie maszyny przy użyciu specjalnie zmodyfikowanego pakietu IP. Jednak takie działanie jest możliwe tylko wtedy, gdy firewall w jądrze jest włączony.

Przedstawiciel SuSE sugeruje, aby wyłączyć w opcjach IP i TCP logowanie do firewalla. Ale oczywiście najlepszym wyjściem jest aktualizacja jądra Linuksa do najnowszej wersji.

Źródło informacji: The Inquirer

Zobacz również:
– Zdalny atak DoS w Linux Kernel 2.6

Jak podaje Gartner w przyszłym roku wzrosną o 5% wydatki firm, związane z działami IT. Motorem wzrostu będą dwa czynniki, większe koszty energii oraz próba zwiększenie efektywności w celu poprawienia warunków konkurencji z firmami z krajów o taniej sile roboczej, m.in. Indii, Chin czy Brazylii.

Peter Sondergaard, główny analityk Gartnera, powiedział że w firmach można obecnie zauważyć dużą niepewność w kwestii przyszłości, spowodowaną m.in. gwałtownymi zmianami rynku. Co więcej, można zaobserwować że aktualnie zapotrzebowanie klientów indywidualnych na nowoczesne rozwiązania – np.: moduły komunikacji bezprzewodowej, ekrany plazmowe i inne zaawansowane technologie, przewyższa zapotrzebowanie ze strony firm, które były pierwszym głównym motorem napędowym dla nowych inwestycji producentów sprzętu.

W przyszłym roku w Stanach Zjednoczonych pojawi się 30 nowych firm oferujących klientom usługi VoIP, które będą rywalizować z już istniejącymi na rynku firmami. Aby mogły one się utrzymać na rynku, będą musiały dokonać poważnych zmian w sposobie działania.

Dla managerów działów IT, wprowadzenie bardziej zaawansowanych rozwiązań stworzy możliwość obniżenia kosztów działania tych jednostek, dzięki wyposażeniu systemów w technologie wspomagające gromadzenie danych, prowadzenie analiz, a tym samym skrócenie czasu reakcji.

Źródło informacji: Vnunet

Zarząd Prokom Software SA w dniu 20 października 2004 roku zawarł z Zakładem Ubezpieczeń Społecznych (ZUS) umowę o usługę administrowania i eksploatowania Kompleksowego Systemu Informatycznego (KSI) ZUS. Całkowita wartość netto tego kontraktu wynosi 134,8 mln PLN. Umowa będzie realizowana do końca 2005 roku.

Celem umowy jest kontynuacja usług świadczonych przez Prokom Software SA w ramach poprzednich umów. W związku z postępującą rozbudową systemu KSI ZUS oraz poszerzaniem jego funkcjonalności, złożoność prac związanych z administrowaniem i eksploatowaniem KSI ZUS w okresie objętym zawartą umową wymagać będzie zaangażowania najwyższej klasy specjalistów Prokom Software SA. Umowa przewiduje dalsze sukcesywne przejmowanie zadań administrowania i eksploatowania KSI przez ZUS.

Łączna wartość kontraktu przekracza 10% kapitałów własnych Prokom Software SA, co stanowi podstawę uznania go za umowę znaczącą.

Obecnie eksploatowany KSI obejmuje oprócz centralnego komputera klasy Mainframe, ponad 500 serwerów, ok. 16 tysięcy stacji roboczych zlokalizowanych w dwóch ośrodkach centralnych i 64 jednostkach terenowych ZUS. Korzysta z nich na co dzień ponad 20 tysięcy użytkowników KSI. Zakres użytkowania i eksploatowania systemu KSI zwiększa się w miarę wprowadzania nowych modułów oprogramowania, niezbędnych również ze względu na zmiany legislacyjne. Powoduje to zwiększenie poziomu złożoności procesów administrowania systemem i wymaga zaangażowania najwyższej klasy specjalistów Prokomu posiadających zarówno ogromne doświadczenie we wdrażaniu KSI, jak i odpowiednią wiedzę o zakresie wykorzystywania stosowanych w KSI rozwiązań technologicznych. Usługi świadczone przez specjalistów Prokomu wykonywane będą w trybie ciągłym (24 godziny na dobę, 7 dni w tygodniu).

W związku z postępującą rozbudową systemu KSI ZUS oraz oddawaniem do eksploatacji kolejnych elementów systemu, złożoność prac związanych z administrowaniem i eksploatowaniem KSI ZUS w okresie objętym powyższą umową, będzie większa niż prac realizowanych w ramach umowy poprzedniej.

KSI ZUS stanowi największy w kraju system informatyczny, zarówno pod względem skali gromadzonych informacji, jak i liczby korzystających z niego użytkowników. KSI ZUS jest jednocześnie jednym ze strategicznych dla naszego kraju systemów informatycznych. Działający w ramach KSI ZUS, System Ewidencjonowania Kont i Funduszy (SEKiF), odpowiada za księgowanie dokumentów, rozliczanie składek oraz obsługę dokumentów korygujących. Rozlicza on ponad 100 miliardów złotych rocznie na kontach 20 milionów ubezpieczonych i 2 milionów płatników. Każdego miesiąca wykonuje ponad 40 miliardów obliczeń, w tym ponad 100 milionów operacji księgowych. Dla porównania – żadna z polskich instytucji finansowych nie dokonuje rozliczeń na kontach indywidualnych w takiej skali i przy takim stopniu skomplikowania. Funkcjonujący w ramach KSI ZUS centralny ośrodek przetwarzania danych to jedna z największych instalacji komputerów klasy mainframe na świecie.

Janosiku! Chroń publiczne pieniądze.

Źródło informacji: Prokom, Interia.pl

Zobacz również:
– Kiedy skończy się monopol Płatnika?
– Stanowisko ZUS w sprawie Janosika (2)
– Stanowisko ZUS w sprawie Janosika (1)
– Algorytm szyfrowania w Płatniku złamany
– Janosik 0.0.1

IT Press organizuje 23 listopada br. drugą edycję konferencji „Kompleksowe bezpieczeństwo systemów informatycznych”. Celem konferencji jest przedstawienie uczestnikom najnowszych rozwiązań i tendencji na rynku bezpieczeństwa systemów i danych. Patronat medialny nad spotkaniem objął m.in. seriws Hacking.pl.

Konferencja została podzielona tematycznie na pięć części istotne
z punktu widzenia kompleksowego bezpieczeństwa w przedsiębiorstwie:

polityka bezpieczeństwa,

bezpieczeństwo dostępu do systemów informatycznych

zarządzanie tożsamością

ochrona przed wirusami,

rozwiązania antyspamowe

systemy szyfrowania danych/VPN/uwierzytelnianie

systemy firewall i IDS.
W wielu przedsiębiorstwach kadra zarządzająca nie bierze pod uwagę bezpieczeństwa danych, jak i ochrony systemów do ich obsługi. Jest to z reguły obszar działań pozostawiany kadrze informatycznej. Powoduje to wiele problemów, ponieważ nieznajomość zagadnień bezpieczeństwa skutecznie zapobiega wszelkim działaniom podejmowanym przez zespół informatyków.

Na konferencję zapraszamy:

menedżerów i członków zarządzów odpowiedzalnych za IT
specjalistów odpowiedzialnych za bezpieczeństwo systemów informatycznych
specjalistów odpowiedzialnych za politykę bezpieczeństwa

Termin: 23 listopad 2004 r.
Miejsce: Warszawa, Hotel Lord

Więcej informacji o konferencji na: http://www.itpress.pl/strony/1/p/66.php

Zobacz również:

Kompleksowe bezpieczeństwo systemów informatycznych 2003

Infrastruktura informatyczna każdej firmy jest stale narażona na penetrację. Aż w 80 proc. przypadków dane z firmy wyciekały w wyniku świadomego działania bądź niefrasobliwości jej pracowników. Audyt informatyczny pozwala stworzyć sieć teleinformatyczną zabezpieczoną przed każdą formą penetracji.

Zarówno sieci otwarte, z nieskrępowanym dostępem do Internetu, jak i sieci firmowe mające tylko jeden punkt dostępu do sieci globalnej czy wydzielone sieci typu VPN są zagrożone penetracją dokładnie w takim samym stopniu. Bezpieczeństwo sieci oznacza bowiem nie tylko budowanie murów ochronnych przed agresorem z zewnątrz, ale także stworzenie takich warunków, aby każdemu stanowisku pracy wewnątrz firmy przyporządkowane były ścisłe reguły dostępu do zasobów sieciowych. Konieczne jest skonstruowanie reguł i hierarchii, które będą opisywać każde stanowisko pracy i zarazem całą sieć. Jest to kompleksowa polityka bezpieczeństwa, która nie zamyka się w zabezpieczeniach technicznych, ale obejmuje również procedury działania pracowników podczas pracy z danymi oraz sposoby postępowania w razie incydentów i naruszeń bezpieczeństwa.

– Każdy pracownik musi być odpowiedzialny za wykonywane działania w sieci teleinformatycznej. Zarządzanie bezpieczeństwem jest scentralizowane w organizacji, ale odpowiedzialność jest rozproszona – twierdzi Radosław Kaczorek z Deloitte.

Usługą, która pozwala na sprawdzenie całej sieci teleinformatycznej, ustalenie jej słabych punktów i usunięcie ich, jest audyt bezpieczeństwa informacyjnego. Jego część obejmująca jedynie badanie i tworzenie procedur dla infrastruktury technicznej nosi nazwę audytu bezpieczeństwa informatycznego.

Kompleksowy audyt całej infrastruktury nie jest zwykle zamawiany przez małe i średnie firmy, ale zdarzają się wyjątki. Robią to na przykład firmy brokerskie, parające się produkcją specjalną, wykonujące ważne zlecenia z zakresu projektowania (np. pracownie informatyczne czy designerskie) lub będące podwykonawcami w wielkich projektach. Zakres audytu może być bardzo różny. Dlatego także niewielkie firmy mogą go zamówić. Oczywiście koszt audytu nie może być wyższy od kosztu potencjalnie utraconych danych.

STANDARDOWE ZABEZPIECZENIA NIE WYSTARCZĄ

Audyt bezpieczeństwa informatycznego jest zamówioną w zewnętrznej firmie niezależną analizą infrastruktury sieciowej przedsiębiorstwa. Uchroni to dane firmowe przed zniszczeniem, ujawnieniem bądź modyfikacją. Nie jest to usługa jednorazowa – stan zabezpieczeń systemu IT każdej firmy powinien podlegać okresowej weryfikacji.

W polskich firmach najpopularniejszy jest audyt sprawdzający system informatyczny. Analizie poddaje się serwery dostępowe (www i FTP), urządzenia sieciowe realizujące połączenia (routery, switche), stacje robocze pracowników etc. Mimo że w wielu małych i średnich firmach nie ma jeszcze zwyczaju sprawdzania poziomu bezpieczeństwa infrastruktury IT, rosnąca ilość prób uzyskania dostępu do firmowych sieci i coraz bardziej widoczne, wymierne straty sprawiają, że sytuacja ta powoli się zmienia. Rośnie też liczba firm oferujących tego typu usługi.

Koszty pełnego audytu są zazwyczaj wysokie. Wynoszą od 20 tys. nawet do ponad 100 tys. euro w zależności od stopnia skomplikowania i rozmiarów sieci przedsiębiorstwa. Jednak nawet niewielkie firmy mogą zamówić przeprowadzenie audytu. Niedrogie usługi sprawdzające infrastrukturę w cenie od kilkudziesięciu dolarów wprowadza m.in. Qumak-Sekom. Trudno je co prawda nazwać pełnym audytem, ale dla małej firmy stanowią dobrą podstawę budowy własnej strategii bezpieczeństwa informatycznego.

Tak naprawdę nie wystarcza jednak zbudowanie w miarę sprawnego systemu bezpieczeństwa w firmie, wprowadzenie do sieci firewalla zabezpieczającego firmowe serwery i desktopy, używanie stale aktualizowanego oprogramowania antywirusowego oraz instalowanie publikowanych przez producentów oprogramowania łat.

Niebezpieczeństwo grozi bowiem nie tylko z zewnątrz. Jak wykazują raporty RSA Security i Verisign, aż 80 proc. incydentów związanych z bezpieczeństwem informacji ma miejsce wewnątrz firmy. Ze stanowiska użytkownika można doprowadzić do nadużyć, takich jak: nielegalne zwiększanie uprawnień dostępu, podszywanie się pod innych użytkowników, podsłuchiwanie informacji przesłanych przez sieć, sabotaż, wykradanie danych.

Istnieje także niebezpieczeństwo ataku zewnętrznego, np. zadziałania nieznanej dotychczas luki w systemach operacyjnych lub aplikacjach czy też zainstalowania przez przypadek konia trojańskiego, który stworzy w firmowej sieci „tylne drzwi” (backdoors) umożliwiające zdalne przejęcie kontroli nad zasobami informatycznymi w firmie.

KTO DO AUDYTU

Przeprowadzenie audytu jest konieczne, jeśli trzeba sprawdzić poziom bezpieczeństwa sieci (serwerów sieciowych i firewalli), np. przed wprowadzeniem zmian w sieci czy też udostępnieniem nowych usług sieciowych użytkownikom wewnętrznym i zewnętrznym. Jest to niezbędne także wtedy, gdy stwierdzono próby włamań do sieci. Sam sprzęt nie gwarantuje jeszcze pełnej szczelności sieci. Istotne jest jego optymalne skonfigurowanie. W takim wypadku wykryte zostaną błędy konfiguracyjne i zostanie podane, jak je naprawić.

Typowa analiza poziomu bezpieczeństwa składa się z kilku etapów: zewnętrznych i wewnętrznych testów penetracyjnych, analizy infrastruktury technicznej i przepływu informacji, oceny stanu aktualnego i zaleceń, jak go poprawić.

Testy penetracyjne są kontrolowanymi próbami wejścia do sieci, czyli po prostu symulacją włamania. Audyt bezpieczeństwa ma na celu wyznaczenie aktualnego poziomu bezpieczeństwa środowiska informatycznego w firmie i określenie, czy stosowane zabezpieczenia są wystarczające, czy istnieją w nich luki wymagające naprawienia oraz jakie informacje można wydobyć od użytkowników sieci w firmie.

Audyt bezpieczeństwa informatycznego w przedsiębiorstwie może być wykonany nie tylko całościowo, ale i cząstkowo. Siłą rzeczy usługa cząstkowa jest tańsza.

Kompleksowe badanie bezpieczeństwa informatycznego zawiera wiele osobnych analiz i testów. Według działającej w tym sektorze firmy Unizeto, w jego skład wchodzi m.in. zebranie informacji o strukturze organizacyjnej przedsiębiorstwa oraz infrastrukturze sieci, używanych mediach, urządzeniach aktywnych i pasywnych, systemach zabezpieczeń fizycznych i logicznych oraz analiza ruchu sieciowego, testowanie sieci, analiza systemów ochrony zasobów sieciowych i powiadamiania o zagrożeniach, weryfikacja administracji siecią wraz z metodami kontroli dostępu, analiza ochrony kryptograficznej, zasobów ludzkich (wiedza personelu IT), bezpieczeństwa fizycznego, polityki dostępu do zasobów internetowych, kontroli antywirusowej, procedur odzyskiwania danych. Audytor przygotowuje raport z przeprowadzonych analiz, zawierający m.in. określenie błędów wraz ze sposobami ich naprawy.

Tego typu audyt przydaje się nie tylko po to, by ocenić i naprawić stan bezpieczeństwa IT w firmie. Będzie pomocny także wtedy, gdy firma zechce ubezpieczyć się od ryzyka informatycznego. Warto to zrobić choćby dlatego, że ubezpieczenie takie coraz częściej wymuszają na swoich podwykonawcach koncerny, dla których firmy te pracują. Ponadto jeśli firma dowiedzie, że przestrzega procedur, ma opracowaną politykę bezpieczeństwa i odpowiednią infrastrukturę, towarzystwa ubezpieczeniowe proponują niższe ceny polis obejmujących ryzyko informatyczne.

Usługi audytorskie świadczą zarówno międzynarodowe firmy (np. Deloitte&Touche czy PricewaterhouseCoopers), jak i krajowe firmy teleinformatyczne, np. Altkom, Comarch, Unizeto, oraz niewielkie spółki, dla których audyty są uzupełnieniem podstawowej działalności.

Wybierając firmę audytorską, jeśli nie jest to spółka międzynarodowa o ustalonej renomie, warto sprawdzić kompetencje audytorów, choć na ogół o referencje jest trudno. Klienci nie zawsze życzą sobie występować na listach referencyjnych firm audytorskich choćby dlatego, że oznaczałoby to przyznanie się do prac przy systemie bezpieczeństwa. Natomiast łatwo można dowiedzieć się, czy konkretni audytorzy dysponują kwalifikacjami potwierdzonymi stosownymi certyfikatami, takimi jak certyfikat CISA (Certified Information System Auditor), który ma niewielu audytorów w kraju, czy CIA (Certified Internal Auditor).

Firma ma prawo zażądać wykazu zatrudnionych audytorów i certyfikatów, które posiadają.

Warto też zapoznać się ze stosowaną przez potencjalnego audytora metodologią i dowiedzieć się, czy jest zgodna z powszechnie uznawanymi standardami, takimi jak ISO 17799.

Konieczność przeprowadzenia audytów nawet w małych firmach ma uzasadnienie, bowiem – jak wykazują raporty Europejskiego Instytutu Zarządzania – jeden udany atak na zasoby informatyczne firmy może spowodować straty długofalowe (utrata baz danych, informacji o wyrobach), sięgające nawet 50 proc. jej rocznego zysku.

Więcej na stronach Rzeczpospolitej