AUDIT INFRASTRUCTURA IT&C

CE ESTE UN AUDIT AL INFRASTRUCTURII IT&C

Compania dumneavoastra s-a extins si considerati ca infrastructura IT&C nu mai este adaptata nevoilor afacerii dumneavoastra? Auditul de IT&C are rolul de a oferi o imagine detaliata privind rolul si locul pe care echipamentele si serviciile de IT&C  il au in cadrul activitatii companiei. Auditul este realizat in scopul identificarii problemelor si sincopelor pe care infrastructura de IT&C le poate genera afacerii dumneavoastra si se finalizeaza cu un set de recomandari cu masurile ce trebuiesc implementate din punct de vedere IT&C in vederea eficientizarii activitatii companiei. Pentru a fi rezolvata o problema trebuie sa fie mai intai identificata si constientizata. Faptul ca pana la momentul de fata lucrurile au mers si asa nu reprezinta o garantie ca ele vor merge in continuare la fel.

Mod de lucru

Serviciul de audit infrastructura IT&C oferit de Innowateam este un proces complex, care se desfasoara in mai multe etape:

1

Intrevedere

Mai intai vom purta o discutie destinata intelegerii modelului de business si a dimensiunii afacerii dumneavoastra

2

Inventariere

Vom face apoi o inventariere detaliata a tuturor resurselor hardware si software ce apartin companiei dumneavoastra

3

Audit

Printr-o comunicare permanenta cu angajatii firmei dumneavoastra vom completa informatiile din raportul de audit IT&C

1. De ce este necesar sa avem o intrevedere?
  • intelegerea modelului dumneavoastra de business;
  • intelegerea dimensiunii afacerii dumneavoastra.
2. In ce consta inventarierea?
3. Raportul de audit se va completa prin:
  • determinarea fluxului informational in cadrul sistemelui informatic si de comunicatii al companiei, care va include aspecte precum: fluxurile de date ale aplicatiilor (client-server), fluxurile de date intre utilizatori (cum se face schimbul de mesaje si fisiere, lucrul colaborativ), fluxul de date cu clientii, fluxul de date cu partenerii (colaboratorii), fluxul de date cu autoritatile si institutiile publice;
  • determinarea lantului de decizie pe fluxul informational in cadrul companiei;
  • determinarea datelor critice necesare asigurarii continuitatii activitatii companiei;
  • determinarea infrastructurii critice necesare asigurarii continuitatii activitatii companiei;
  • determinarea modului si locului in care se face stocarea datelor critice apartinand companiei (centralizat, local, pe serverele companiei, in cloud);
  • determinarea existentei politicilor de realizare a copiilor de siguranta si recuperare in caz de dezastru a datelor critice necesare functionarii companiei si identificarea echipamentelor destinate acestui scop;
  • determinarea politicilor de asigurarea a redundantei pentru datele si infrastructura critica a companiei;
  • inventarierea politicilor si mecanismelor de securitate aplicate utilizatorilor si datelor (autentificare, politici de securitate, protecția antivirus, protectie antimalware, protectie impotriva programelor ransomware, protectie impotriva atacurilor cibernetice, regimul log-urilor);
  • inventarierea politicilor si mecanismelor de securitate suplimentare de protectie aplicate datelor apartinand clientilor companiei (securitate fizica, criptare, GDPR, etc.);
  • o inventariere a legaturilor de date utilizate in cadrul sistemului informatic si de comunicatii al companiei (abonamente internet fix si mobil, legaturi VPN, legaturi de tip dial-in/dial-up, etc.) si a parametrilor tehnici ai acestora (viteza, latenta, capacitate maxima);
  • determinarea planurilor (abonamentelor) de voce contractate de catre companie;
  • determinarea regimului de utilizare al echipamentelor personale de informatica si comunicatii in cadrul companiei (laptopuri, telefoane, tablete) si existenta unor reglementari interne privind politica BYOD (bring your own device);
  • existenta de documentatii tehnice si de utilizator ale sistemului informatic si de comunicatii al companiei;
  • inventarierea problemelor tehnice si neajunsurilor cu care s-au confruntat angajatii pe parcursul timpului;
  • determinarea nivelului de pregatire al angajatilor in utilizarea echipamentelor si aplicatiilor companiei;
  • determinarea nivelului de pregatire al angajatilor in scopul contracararii amenintarilor cibernetice (malware, fishing, vishing, inginerie sociala, etc.).