Ustawiczne korygowanie kursu
- Jarosław Ochab,
- Przemysław Gamdzyk,
- Andrzej Maciejewski,
- 06.02.2007
Uwierzytelnianie
Bardzo ważnym zagadnieniem w obszarze bezpieczeństwa jest tzw. IAM (Identity & Access Management). Liczba elektronicznych tożsamości, którymi trzeba zarządzać, wzrasta w wielu firmach w tempie lawinowym (partnerzy, klienci, usługodawcy), zmienia się też sposób uzyskiwania dostępu do sieci korporacyjnych (zdalnie, stacjonarnie, mobilnie). Z tego też względu coraz ważniejsze staje się zarządzanie systemami w oparciu o role, które są przyznawane poszczególnym pracownikom lub grupom. W dużych przedsiębiorstwach, przy znacznej rotacji pracowników, brak odpowiednich procedur (bądź zwykła niedbałość) określających sposób postępowania z nowo zatrudnionymi lub odchodzącymi ludźmi (deprovisioning) stanowi jedno z najsłabszych ogniw w ogólnym systemie bezpieczeństwa. Tymczasem według statystyk co piąte naruszenie polityki bezpieczeństwa w spółkach dokonywane jest przez byłych pracowników wykorzystujących wciąż działające login i hasło. Dodatkowo należy mieć na uwadze, że niejednokrotnie globalne straty wynikające z kradzieży tożsamości lub ich nieautoryzowanego użycia są większe niż szkody poczynione przez wirusy i robaki komputerowe.
Audytor i audytowany są partnerami w procesie zarządzania. Audyt zaś to ocena procesów, a nie ludzi, audyt to nie kontrola. Zrozumienie celów audytu ułatwi życie audytorowi i audytowanemu, a wnioski płynące z audytu powinny uwzględniać sposób jego przeprowadzenia. To wszystko to przepis na bezpieczny audyt.
Staramy się ograniczać do minimum zakres informacji, które muszą być chronione poza wymogami prawa, np. z racji interesów firmy. Najgorszą metodą jest chronić wszystko bez wyjątku.
Można wskazać na trzy fundamentalne kwestie dotyczące inwestowania w IT: czy otrzymamy optymalny poziom korzyści, czy stać nas na taką inwestycję i czy jej realizacja dokona się przy akceptowalnym poziomie ryzyka.