Audyt systemów
informatycznych
Bezpieczna Firma
Wojciech Malec
stopień trudności
Żadne rozwiązania informatyczne nie są w pełni doskonałe,
a sama organizacja bezpieczeństwa teleinformatycznego nie jest
łatwym zadaniem. Taka sytuacja rodzi duże prawdopodobieństwo
powstania nieprawidłowości i nadużyć, które nieuchronnie
prowadzą do braku osiągnięcia celów biznesowych, poniesienia
strat finansowych lub też upadłości organizacji.
udyt informatyczny (wg. ISACA)  jest ku każda duża firma traci około 1,6 mln euro w
to proces zbierania i oceniania dowo- wyniku nieodpowiedniego zarządzania infra-
Adów w celu określenia, czy system in- strukturą i systemami informatycznymi. Szacu-
formatyczny i związane z nim zasoby właści- je się również, że w małych i średnich firmach
wie chronią majątek, utrzymują integralność jest podobny problem  straty w przychodach
danych, dostarczają odpowiednich i rzetelnych z tytułu złego zarządzania w IT sięgają 15%
informacji, osiągają efektywnie cele organiza-  25%. Według badań uniwersytetu w Chicago
cji, oszczędnie wykorzystują zasoby i stosują połowa firm, którym skradziono dane, bankru-
mechanizmy kontroli wewnętrznej tak, aby do- tuje prawie natychmiast, zaś 30% w ciągu na-
starczyć rozsądnego zapewnienia, że osiąga- stępnego roku. Potrzeba i konieczność ochro-
ne są cele operacyjne i kontrolne oraz że chro- ny informacji przed stale rosnącą liczbą nad-
ni się przed niepożądanymi zdarzeniami lub są użyć, świadomych lub nieświadomych działań
one na czas wykrywane, a ich skutki na czas lub też zaniechania poczynań przeciw zagro-
korygowane.
Nikogo nie trzeba przekonywać, że współ-
Z artykułu dowiesz się
czesne środowisko zarówno międzynarodo-
wego, jak i lokalnego biznesu nie może się
" co to jest i jak powstał audyt informatyczny,
obyć bez wsparcia ze strony rozwiązań infor-
" jakie są najważniejsze organizacje zawodowe
matycznych. Ciągły rozwój nowych technolo-
właściwe dla audytu informatycznego, jakie są
gii usprawnia działanie firmy, wspomaga osią-
certyfikaty dla audytorów i w jakim celu są wy-
ganie celów biznesowych i zwiększa konku-
dawane.
rencyjność organizacji. Pomimo tak wielu za-
let, jakie przynosi informatyzacja dla instytucji
Co powinieneś wiedzieć
i podmiotów gospodarczych, musimy przyjrzeć
się zagrożeniom, jakim w związku z nią przyj- " znać podstawowe zasady bezpieczeństwa in-
formatycznego.
dzie nam stawić czoła. Badania Europejskie-
go Instytutu Zarządzania dowodzą, że co ro-
hakin9 Nr 10/2007
68 www.hakin9.org
Audyt systemów informatycznych
żeniom jest oczywista. Liczba spo- rządzaniu i kontroli energicznie roz- troli systemów informatycznych tej
sobów ochrony przed zagrożenia- wijających się technologii informa- organizacji jest COBIT  Control Ob-
mi, a także narzędzi pomocniczych, tycznych, jak również stale rosnące jectives for Information and Related
stale wzrasta. Dobór odpowiednich zagrożenia mające wpływ na bez- Technology. Innym znanym standar-
mechanizmów tak, aby odpowiada- pieczeństwo informacji, spowodo- dem audytu środowiska sieciowego
ły potrzebom i możliwościom organi- wały powstanie audytu informatycz- jest CONeCT  Control Objectives
zacji wymaga zastosowania dodat- nego. Tak jak w przypadku audytu fi- for Net Centric Technology.
kowych narzędzi. Do tych właśnie nansowego, instytucje zaczęły two-
celów ma zastosowanie audyt sys- rzyć specjalne działy wyspecjalizo- IIA
temów informatycznych. Jako nie- wane w prowadzeniu audytu infor- The Institute of Internal Auditors  to
zależne z
ródło kontroli organizacji matycznego. międzynarodowa organizacja sku-
bezpieczeństwa systemów informa- piająca audytorów wewnętrznych
tycznych, audyt nie tylko weryfikuje Organizacje zawodowe (ponad 80 tysięcy członków w 120
dobór zastosowanych środków, ale W ramach audytów finansowych krajach). Polski oddział został zare-
bardzo często zapobiega naduży- powstały organizacje zrzeszają- jestrowany w 2002 roku jako Stowa-
ciom i przestępstwom wymierzo- ce i w pewien sposób autoryzujące rzyszenie Audytorów Wewnętrznych
nym w organizację. Ceny audytów profesjonalistów w dziedzinie audy- IIA-Polska. Organizacja ta zrzesza
informatycznych są zależne od ich tu finansowego. Podobnie stało się zarówno obecnych audytorów, jak i
zakresu. Jeśli chodzi tylko o audyt w obszarze audytu informatyczne- kandydatów. Do stowarzyszenia mo-
sprzętu, oprogramowania na nim za- go. Potrzeba kontaktów w celach gą należeć także inne osoby zainte-
instalowanego i jego legalności, na- wymiany poglądów, wiedzy i do- resowane tą profesją  kontrolerzy,
leży liczyć ok. 90 PLN za stację ro- świadczeń, a także ustalania stan- księgowi, członkowie rad nadzor-
boczą. dardów wśród audytorów informa- czych, pracownicy naukowi, studen-
tycznych zaowocowała powstaniem ci związanych kierunków.
Historia audytu organizacji zawodowych jednoczą- Główne cele IIA:
informatycznego cych ludzi wykonujących wspólną
Audyt jako pierwszy pojawił się w profesję. " działalność promocyjna audytora
sektorze finansów, gdzie badano wewnętrznego,
sprawozdania finansowe przedsię- ISACA " upowszechnianie międzynarodo-
biorstw i instytucji. W obszarze au- Information Systems Audit and Con- wych Standardów Profesjonalnej
dytu finansowego powołano orga- trol Organisation  pierwsza i naj- Praktyki Audytu Wewnętrznego,
nizacje, które mają za zadanie po- większa międzynarodowa organiza- " podejmowanie i prowadzenie
twierdzić kwalifikacje audytorów cja w dziedzinie audytu informatycz- działalności w zakresie doskona-
ksiąg rachunkowych poprzez certy- nego powstała w roku 1967. Dziś li- lenia kwalifikacji dla prawidłowe-
fikację. Z tą dziedziną związana jest czy ponad 50 000 osób w prze- go wykonywania zawodu audyto-
międzynarodowa organizacja Asso- szło 140 krajach na całym świecie. ra wewnętrznego oraz możliwo-
ciation of Chartered Certified Acco- W Polsce od 1997 roku istnieje je- ści zatrudnienia,
untants  Stowarzyszenie Certyfiko- den oddział stowarzyszenia  ISA- " reprezentowanie i ochrona praw i
wanych Księgowych a w Polsce Kra- CA Warsaw Charter. Organizacja ta interesów zawodowych członków
jowa Izba Biegłych Rewidentów. Na- ma na celu podnoszenie wiedzy oraz stowarzyszenia,
stępnym krokiem przyczyniającym praktyki w obszarze audytu i kontro- " krzewienie poczucia godności i
się do rozwoju audytu było rozpropa- li systemów informatycznych. Człon- wspólnoty zawodowej oraz upo-
gowanie i rozwój audytu wewnętrz- kowie stowarzyszenia i posiadacze wszechnienie pozycji i znaczenia
nego. W tej dziedzinie powstała certyfikatów ISACA są zobowiąza- zawodu audytora wewnętrznego,
międzynarodowa organizacja Insty- ni do przestrzegania zasad postę- " stworzenie forum wymiany do-
tut Audytorów Wewnętrznych  In- powania Kodeksu Etyki Zawodowej. świadczeń,
stitute of Internal Auditors, do kom- ISACA wspiera i promuje także stan- " krzewienie i propagowanie za-
petencji której należy między inny- dardy i dobre praktyki skutecznego sad etyki i rzetelności, lojalności
mi ustalanie właściwych standar- zarządzania oraz kontroli technolo- zawodowej oraz uczciwej konku-
dów. W Polsce odpowiednikiem tej gii informatycznych. Stowarzysze- rencji,
organizacji jest Polski Instytut Kon- nie to jest między innymi autorem " czuwanie nad przestrzeganiem
troli Wewnętrznej. Z początku przed- programu PSS  Professional Semi- tych zasad,
miotem audytu była tylko dziedzina nar Series, wydaje certyfikaty CISA " prowadzenie działalności nauko-
finansowa, póz
niej nastąpiła ewolu-  Certified Information Systems Au- wo-dydaktycznej (w tym również
cja i zakres audytu rozszerzył się na ditor i CISM  Certified Information kształcenie studentów), jak i sze-
wszystkie procesy występujące w in- Security Manager. Najbardziej zna- roko rozumianej działalności kul-
stytucji. Trudności w organizacji, za- nym standardem zarządzania i kon- turalnej.
www.hakin9.org hakin9 Nr 10/2007 69
Bezpieczeństwo w firmie
Instytut Audytorów Wewnętrznych tego celu wyznaczony komitet  CI- liwość pogłębienia tej wiedzy na róż-
daje możliwość uzyskania certyfi- SA Certification Board. nego rodzaju studiach podyplomo-
katów zawodowych poświadczają- Cel programu certyfikacji: wych. Koszt certyfikacji to wydatek
cych międzynarodowe przygotowa- 360  530 USD w zależności od ter-
nie zawodowe w zakresie audytu " rozwój i utrzymanie narzędzi te- minu rejestracji na egzamin i przyna-
wewnętrznego. Zasadniczym mię- stowania, służących do oceny in- leżność do organizacji ISACA. Zniż-
dzynarodowym certyfikatem jest CIA dywidualnych kompetencji w za- ki są przyznawane dla członków or-
 Certified Internal Auditor. kresie audytów informatycznych, ganizacji i przy wcześniejszym zgło-
" dostarczanie mechanizmów mo- szeniu on-line na stronie http://
PIKW tywujących do utrzymywania www.isaca.org/examreg.
Polski Instytut Kontroli Wewnętrznej swoich kompetencji oraz moni- Zagadnienia obowiązujące na
 jest to instytucja założona w roku torowania efektów programów egzaminie CISA:
1998, która przygotowuje kadry do szkoleniowych,
oceny systemów kontroli wewnętrz- " pomoc kadrze kierowniczej w " proces audytowania systemów
nej i profesjonalnego wykonywania rozwijaniu funkcji kontroli syste- informatycznych  10% pytań,
zawodu audytora wewnętrznego. mów informatycznych. " zarządzanie, planowanie i orga-
Organizacja ta zajmuje się proble- nizacja systemów informatycz-
matyką systemów kontroli wewnętrz- Certyfikat ten posiada już około 12 nych  11% pytań,
nej, audytu wewnętrznego, proce- 000 osób na całym świecie. Egza- " infrastruktura techniczna i prak-
sów zarządzania ryzykiem, zarzą- min odbywa się dwa razy do roku: w tyki operacyjne  13% pytań,
dzania korporacyjnego (governan- drugą sobotę czerwca i drugą sobotę " ochrona zasobów informacyj-
ce), wykrywania i zapobiegania ko- grudnia. W Polsce egzamin ma miej- nych  25% pytań,
rupcji, oszustwom oraz nadużyciom. sce w Warszawie. Wymagania dla " odtwarzanie po katastrofach i
Wspomaga też kształcenie audyto- kandydatów chcących uzyskać cer- ciągłość biznesu  10% pytań,
rów i kontrolerów wewnętrznych za- tyfikat CISA: " rozwój, nabywanie, wdrażanie i
trudnionych we wszystkich organi- utrzymywanie biznesowych sys-
zacjach gospodarki i administracji " udokumentowanie minimum pię- temów aplikacyjnych  16% py-
państwowej w Polsce. Instytut ten ciu lat praktyki w zakresie audy- tań,
współpracuje z międzynarodowymi tu, kontroli i bezpieczeństwa sys- " ocena procesu biznesowego i
organizacjami, dostosowuje najlep- temów informatycznych, zarządzanie ryzykiem  15% py-
sze standardy i praktyki stosowane " opłacenie kosztów egzaminu, tań.
na całym świecie (szczególnie w kra- " zdanie egzaminu,
jach UE) do polskich warunków. " stosowanie Kodeksu Etyki Zawo- CISM
dowej ISACA. Certified Information Security Ma-
Certyfikacja nager  jest to certyfikat opracowa-
W celu uwiarygodnienia dostaw- Certyfikat CISA ma obecnie dość ny także przez organizację ISACA,
ców usług audytorskich o należy- duże znaczenie na rynku pracy, sta- jednak skierowany dla zarządzają-
tym poziomie profesjonalizmu, za- nowi bowiem poświadczenie kompe- cych, projektujących, wdrażających
istniała potrzeba udokumentowania tencji zawodowych osoby posiadają- i rozwijających proces bezpieczeń-
i potwierdzenia uprawnień oraz obo- cej certyfikat oraz stałe podnosze- stwa organizacji. Osoby szczególnie
wiązków. Dla poświadczenia kompe- nie kwalifikacji dzięki polityce ciągłe- zasłużone dla rozwoju audytu sys-
tencji grupy zawodowej audytorów go kształcenia. Z tego także powo- temów informatycznych otrzymały
systemów informatycznych, właści- du liczba kandydatów do egzaminu ten certyfikat jako pierwsze. Obec-
we organizacje opracowały progra- CISA stale wzrasta. Egzamin CISA nie, aby móc tytułować się tym cer-
my certyfikujące. składa się z 200 pytań. Do każdego tyfikatem, oprócz udokumentowania
pytania są cztery odpowiedzi, z któ- wieloletniego doświadczenia zawo-
CISA rych jedna jest poprawna. Egzamin dowego, należy także zdać egzamin.
Certified Information Systems Au- trwa cztery godziny, prowadzony jest Egzamin CISM odbywa się w tych
ditor  to międzynarodowy program w językach: angielskim, duńskim,
certyfikacji audytorów systemów in- francuskim, hebrajskim, hiszpań-
Literatura
formatycznych opracowany przez skim, japońskim, koreańskim, nie-
Marian Molski, Małgorzata A
acheta,
organizację ISACA. Certyfikat ten mieckim i włoskim. Wiedzę z zakre-
Przewodnik audytora systemów informa-
ma za zadanie utrzymanie właści- su egzaminu można zdobyć na spe-
tycznych, Wydawnictwo HELION, 2007.
wego poziomu zawodowego osób cjalnych szkoleniach przygotowa-
Tomasz Polaczek, Audyt bezpieczeń-
związanych z bezpieczeństwem in- nych przez stowarzyszenie ISACA.
stwa informacji w praktyce, Wydawnic-
formatycznym. Nad rozwojem syste- Również uczelnie  zarówno pań-
two HELION, 2006.
mu certyfikacji czuwa specjalnie do stwowe, jak i prywatne  dają moż-
www.hakin9.org
70 hakin9 Nr 10/2007
Audyt systemów informatycznych
samych terminach co CISA, forma " CFSA  Certified Financial Servi- " monitorowanie wyników zadań:
egzaminu jest też bardzo podobna. ces Auditor, 5%  15%,
Koszt certyfikacji jest zależny termi- " CGAP  Certified Government " elementy wiedzy w zakresie
nu egzaminu i przynależności do or- Auditing Professional, oszustw: 5%  15%,
ganizacji ISACA, wynosi identycz- " CCSA  Certification in Control " narzędzia do realizacji zadań au-
nie jak w przypadku egzaminu CISA Self-Assessment. dytorskich: 15%  25%.
od 360 do 530 USD. Wymagania dla
kandydatów chcących uzyskać cer- Egzaminy CIA odbywają się dwa ra- Część III
tyfikat CISM: zy do roku  w maju i listopadzie, tak- Analizy biznesowe i technologie in-
że w Polsce. Szkolenia przygotowaw- formatyczne:
" udokumentowanie minimum pię- cze prowadzi między innymi Ernst &
ciu lat praktyki w obszarze bez- Young Academy of Business. Koszt " procesy biznesowe: 15%  25%,
pieczeństwa systemów informa- uzyskania certyfikatu obejmuje opła- " rachunkowość finansowa i finan-
tycznych, tę rejestracyjną ważną przez 2 lata, se: 15%  25%,
" opłacenie kosztów egzaminu, która wynosi 30 USD dla studentów, " rachunkowość zarządcza: 10%
" zdanie egzaminu CISM, 60 USD dla członków IIA lub 75 USD  20%,
" stosowanie Kodeksu Etyki Zawo- dla pozostałych osób. Za każdy egza- " regulacje, prawo i ekonomia: 5%
dowej ISACA. min należy uiścić opłatę w wysokości  15%,
odpowiednio 35 USD  studenci, 70 " technologie informatyczne (IT):
CIA USD  członkowie IIA oraz 95 USD 30%  40%.
Certified Internal Auditor  certyfikat  pozostałe osoby. Program egzami-
ten oferowany jest przez organizację nu składa się z czterech części. Na- Część IV
IIA. Sprawdza i zaświadcza wiedzę leży tu podkreślić, iż posiadanie cer- Umiejętności w zarządzaniu przed-
i umiejętności w zakresie niezbęd- tyfikatu CISA zwalnia z czwartej czę- siębiorstwem:
nym do wykonywania zawodu audy- ści egzaminu.
tora wewnętrznego. Wymagania dla " zarządzanie strategiczne: 20%
kandydatów chcących uzyskać cer- Część I  30%,
tyfikat CIA: Rola procesu audytu wewnętrznego " globalne otoczenie biznesowe:
w zakresie nadzoru korporacyjnego, 15%  25%,
" posiadanie minimum dwuletnie- ryzyka i kontroli: " działania w organizacji: 20%
go doświadczenia w audycie we-  30%,
wnętrznym, " zgodność ze standardami IIA do- " umiejętności kierownicze: 20%
" przedstawienie poświadczenia o tyczącymi atrybutów audytu we-  30%,
postawie zawodowej i moralnej wnętrznego: 15%  25%, " negocjacje: 5%  15%.
kandydata, " tworzenie planu oraz określe-
" ukończenie studiów wyższych z nie priorytetów działania audytu Podsumowanie
dyplomem minimum licencjata, wewnętrznego kierując się ryzy- W procesie audytu bardzo waż-
" zdanie czterech części egzami- kiem: 15%  25%, nym składnikiem jest czynnik ludz-
nu. " rozumienie roli procesu audytu ki. Pomimo zastosowania właści-
wewnętrznego w zakresie nadzo- wych standardów i metodyk audy-
Instytut IIA przyznał już ponad 40 ru organizacyjnego: 10%  20%, tów systemów informatycznych or-
tysięcy takich certyfikatów. Oferuje " wypełnianie pozostałych ról i ganizacje chętnie zlecają przepro-
także trzy inne specjalistyczne cer- odpowiedzialności audytu we- wadzenie audytów firmom, które
tyfikaty: wnętrznego: 0%  10%, posiadają certyfikowanych audy-
" elementy wiedzy w zakresie nad- torów. Takie podejście nie wyklu-
zoru organizacyjnego, ryzyka i cza, lecz minimalizuje możliwość
O autorze
kontroli: 15%  25%, wystąpienia błędu ludzkiego przy
Wojciech Malec  audytor wewnętrzny
" planowanie zadań: 15%  25%. przeprowadzaniu czynności audy-
Systemu Zarządzania Jakością, spe-
torskich. Konsekwencją przepro-
cjalista w zakresie ochrony informacji
Część II wadzenia audytów informatycz-
prawnie chronionych, odpowiedzialny
Wykonywanie zadań audytu we- nych na wysokim poziomie jest do-
za implementacje zasad bezpieczeń-
wnętrznego: starczenie rzetelnych informacji,
stwa w nowych projektach informa-
większa ochrona instytucji przed
tycznych. Redaktor portalu http://www.
" wykonywanie zadań: 25% niepożądanymi zdarzeniami, lep-
ochronainformacji.pl.
 35%, sze zabezpieczenie majątku firmy i
Kontakt z autorem:
w.malec@ochronainformacji.pl. " wykonywanie zadań szczegól- racjonalne wykorzystanie zasobów
nych: 25%  35%, informatycznych. l
www.hakin9.org hakin9 Nr 10/2007 71