Jakie mogą być wymierne straty jeśli zaniecha się audytu?

Coraz częściej poruszana jest tematyka opłacalności przeprowadzania audytów bezpieczeństwa informacji. Powstają w organizacjach komórki audytu wewnętrznego zajmujące się analizą stanu faktycznego w organizacji. Najczęściej jednak usługa audytu jest zlecana na zewnątrz ze względu na większą niezależność. Jakie mogą być korzyści zamówienia takiej usługi? Czy w ogóle możemy o takich mówić?

Pytanie byłoby prostsze gdyby zapytać czy zaniechanie audytu powoduje straty. Wtedy łatwo można byłoby się odnieść do bardziej powszechnych rozwiązań znanych z życia codziennego choćby tak kontrowersyjnych usług jak ubezpieczenia. Wszyscy wiedzą że składka ubezpieczeniowa np. OC jest najczęściej wielokrotnie niższa niż ewentualna szkoda wyrządzona/poniesiona podczas nawet drobnej stłuczki. Zatem gdyby była możliwość wzięcia ryzyka na siebie za taki wypadek to strata zaniechania kupna OC byłaby różnicą pomiędzy wartością szkody a składką ubezpieczeniową. Rzecz w sposób analogiczny ma się w stosunku usług audytowych. Zaniechanie audytu jednak powoduje nieco większe straty.

Brak audytu to brak potwierdzonej, udokumentowanej, a przez to realnej świadomości na jakim poziomie np. bezpieczeństwa sieci obecnie znajduje się dany dział czy cała komórka organizacyjna/organizacja. Wracając do naszego przykładu z ubezpieczeniem to tak jakby się kupiło ubezpieczenie na wartość subiektywną np. 10 000 zł, a faktyczna wartość samochodu byłaby 30 000 zł. Przed zakupem ubezpieczenia ocenia się wartość ubezpieczanej rzeczy, bada się warunki początkowe by ocenić prawdopodobieństwo zdarzeń, możliwe podatności itp.

Zewnętrzny, niezależny audyt umożliwia właśnie analizę ryzyka, zbadanie podatności, umożliwia i pomaga w określeniu prawdopodobieństwa wystąpienia niepożądanych zdarzeń oraz szacuje potencjalne straty, jakie mogą wystąpić. Dzięki temu można w sposób prostej checklisty opracować drogi reakcji podczas wystąpienia poszczególnych zdarzeń.

Jakie skutki zatem rodzi zaniechanie audytu?

Konsekwentnie, idąc takim torem myślenia bez analizy ryzyka organizacja jest stawiana przed faktem dokonanym w momencie wystąpienia poszczególnych zdarzeń i co najważniejsze zmaga się zarówno z ich eliminacją jak również minimalizacją skutków jakie zostały przez nie wywołane.

Rozważmy następujący przykład: Urząd Gminy X nie wykonał analizy bezpieczeństwa kodu strony internetowej i oszczędził 5000 zł. W związku z powyższym faktem po kilku tygodniach działania strony cyberprzestępca włamuje się przez kod strony na serwer i dokonuje nieautoryzowanych zmian w jej treści, (podmienia zdjęcia, treści itp.) Kto odpowiada za treści publikowane na stronie? Oczywiście jej prawny właściciel – co jeśli cyberprzestępca umieści tam treści zakazane np. treści nazistowskie czy pedofilskie? Lub zostanie wykorzystana do dalszych działań przestępczych. Strona prawdopodobnie zostanie zamknięta zostaną rozpoczęte czynności prawne. Skutek? Obawiam się, że koszty sądowe i nałożone kary nie wspominając o wizerunku osób zarządzających mogą kosztować więcej niż uzyskana krótkowzrocznie oszczędność 5000 zł.

Wg mnie nie da się jednoznacznie w sposób wymierny określić strat wynikających z zaniechania audytu. Można pokusić się o stwierdzenie, że z dużym prawdopodobieństwem przekroczą one jego wartość przynajmniej kilkakrotnie w przypadku wykorzystania istniejących podatności.

Każdy audyt kończy się raportem i zaleceniami. Fakt realizacji zaleceń pozostaje do decyzji osób zarządzających. Jest oczywiste, że koszt wykonania zaleceń który przewyższa kalkulacje kosztów wynikającą z analizy ryzyka wystąpienia poszczególnych zdarzeń zarząd nie realizuje, jednak tym samym ma świadomość o niepodważalnym uzasadnieniu biznesowym takiej decyzji przy świadomej akceptacji określonego ryzyka.

Najistotniejszym jest fakt rozpoznania określonych ryzyk, ich oszacowania. To właśnie ma za zadanie audytor zewnętrzny. Daje on zarządzającym narzędzia wspomagające do skutecznego i racjonalnego zarządzania ryzykiem w organizacji.

Wielokrotnie spotykam się z opinią że na chwilę obecną dział finansowy twierdzi, że firmy nie stać na przeprowadzenie audytu… Ja wówczas pytam: kto się podpisze pod decyzją, że stać firmę na zaniechanie przeprowadzenia audytu?

Jak oceniasz artykuł?

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

brak komentarzy
Dodaj swoją opinie

Kompetencje

Certyfikat Cisco Certified Network Associate (CCNA) Routing and Switching

Polecamy

VirtualStudy.pl - technologia w zasięgu Internetu

Zasubskrybuj Newsletter

Wyrażam zgodę na otrzymywanie informacji handlowych za pomocą środków komunikacji elektronicznej (zgodnie z Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną - Dz. U. Nr 144 poz. 1204.).

autoresponder system powered by FreshMail
 
Przeczytaj poprzedni wpis:
Czy audyt bezpieczeństwa to konieczność lub potrzeba?

Przechowywane w firmie dane dotyczące działalności oraz realizowanych transakcji, są zasobem, który może decydować o przewadze rynkowej. Uzyskanie do nich...

Zamknij