Audit bezpečnosti IT a optimalizace nákladů pro VŠPJ
Publikováno: 26.10.2012
Jak vypadá takový IT audit na vysoké škole a je vůbec potřeba?
Audit bezpečnosti IT a optimalizace nákladů
2012
Náš klient
Vysoká škola polytechnická Jihlava (VŠPJ) vznikla v roce 2004 jako první česká veřejná vysoká škola neuniverzitního směru. Je jedinou veřejnou vysokou školou v Kraji Vysočina. VŠPJ je také pevnou součástí systému terciárního vzdělávání.
Potřeba klienta
Cílem komplexního bezpečnostního auditu bylo nezávisle posoudit úroveň bezpečnosti IT prostředků VŠPJ, navrhnout opatření k redukci bezpečnostních rizik a nastavit bezpečnostní politiku organizace v IT oblasti. Klient očekával srovnání s normami, oborovými standardy a konečně i impulsy k optimalizaci nákladů a investic.
Jak audit proběhl
- Při vstupním pohovoru jsme klienta seznámili s průběhem auditu, timingem a časovými nároky na zúčastněné pracovníky školy.
- Klient dodal vyžádané vzorky dokumentace.
- Proběhlo několik řízených pohovorů k ověření skutečného stavu.
- Zpracovali jsme a předložili draft auditní zprávy.
- Na základě diskuze byla zpráva upravena a doplněna.
- Prezentovali jsme konečnou verzi auditní zprávy.
- Zpráva byla rozčleněna podle požadované struktury:
- celkové nastavení bezpečnostní politiky organizace v oblasti IT,
- personální bezpečnosti v oblasti IT,
- fyzická bezpečnost v oblasti IT a správa aktiv IT,
- management bezpečnosti počítačů a sítí,
- zajištění kontinuity provozu,
- systémový vývoj a údržba,
- penetrační testování vnitřní a vnější části sítě.
- Proběhl bezpečnostní test informačního systému (podvržený e-mail odkazoval na podvrženou logovací stránku za účelem zcizení hesla) s uspokojivým výsledkem.
- Audit probíhal dva měsíce (průběh ovlivnila doba dovolených).
"Jsem rád, že jsme spolupracovali s konzultanty Blue Partners. Problematiku bezpečnosti IT projednali s managementem školy i IT oddělením tak, že všechny strany chápaly, co je cílem auditu a jak k němu dojít."
Ing. Michal Šulc, Ph.D., kvestor VŠPJ
Náročnost pro klienta
- Čas na pohovory (jednotky hodin u každého z dotazovaných).
- Čas na shromáždění požadované dokumentace (jednotky u každého z dotazovaných).
- Čas techniků a specialistů pro zajištění přístupu do sítě VŠPJ (jednotky u každého z dotazovaných).
Klíčové přínosy očima klienta
- Byla identifikována rizika IT bezpečnosti a určeny priority řešení.
- Zjištěno, že standardizovaná opatření bývají účinnější a levnější.
- Zhodnocena kvalita dokumentace, proběhla diskuze nad jejím smyslem a strategií.
- Ověřeno nasazení externích dodavatelů jako pružné řešení problémů s přetížením vlastních kapacit.
