AUDYT OPROGRAMOWANIA I INWENTARYZACJA SPRZĘTU
AUDYT BEZPIECZEŃSTWA INFORMACJI
AUDYT OCHRONY DANYCH OSOBOWYCH

Firma ALT Systemy Informatyczne prowadzi usługi audytorskie w ramach programu partnerskiego Software Assets Management (SAM) oraz Microsoft License Management Program (MLMP) umożliwiając weryfikację legalności zainstalowanego i posiadanego oprogramowania oraz usprawnienia procesu zarządzania licencjami. Program ten wraz z równoległe trwającą kampanią walki z piractwem komputerowym prowadzonym przez BSA, ma na celu przede wszystkim pomoc w polityce licencyjnej przedsiębiorstw i doprowadzenie do pełnej legalności posiadanego oprogramowania i jego użytkowania.

W tym celu firma ALT Systemy Informatyczne pragnie zwrócić Państwa uwagę na zakres swoich usług obejmujących tą dziedzinę i pragnie zachęcić do współpracy.

Zakres oferty obejmuje następujące propozycje:

• Przeprowadzenie audytu oprogramowania czyli sprawdzenie stosowanego oprogramowania i jego efektywne wykorzystanie wraz ze spisaniem procedur i polityk
• Przeprowadzenie audytu systemu informatycznego pod kątem zabezpieczeń sieciowych i serwerowych
• Przeprowadzenie weryfikacji spełniania wymogów prawnych związanych z Ustawą o Ochronie Danych Osobowych
• Dostawę oprogramowania do zarządzania licencjami oraz kontroli instalowanych aplikacji i plików multimedialnych
• Stałą pomoc doradczą w zakresie technik kontroli poaudytowej, nadzoru wdrożonych procedur i poprawności ich funkcjonowania

Korzyści z wykonania audytu przez ALT Systemy Informatyczne

• Zajmujemy się audytami od 2004 r. tj. od początku istnienia usług zarządzania licencjami w Polsce,
• Oferujemy pomoc w ustanowieniu standardów oprogramowania w firmie,
• Przeprowadzamy analizę bezpieczeństwa przechowywanych danych,
• Pomagamy zmniejszać koszty związane z utrzymaniem oprogramowania,
• Służymy pomocą i doradztwem w doborze najlepszych wersji licencjonowania,
• Posiadamy doświadczenie w opracowywaniu procedur i instrukcji dla firm, wynikających z zakresu audytu i rozwiązań występujących w poszczególnych firmach,
• Ukończyliśmy akredytowane przez ABW szkolenia związane z wymogami Ustawy o Ochronie Danych Osobowych oraz Polityk Bezpieczeństwa Systemu Informatycznego.

Przeprowadzenie audytu i wdrożenie procedur zarządzania oprogramowaniem, choć wymaga profesjonalnego przygotowania, jest procesem, z którym nasza firma poradzi sobie sprawnie i szybko. Wszelkie informacje uzyskane w trakcie audytu objęte są tajemnicą i nie są udostępniane osobom trzecim. Nasze kompetencje są poparte odpowiednimi certyfikatami oraz długą listą referencyjną naszych partnerów.

AUDYT OPROGRAMOWANIA I INWENTARYZACJA SPRZĘTU

Definicja

Audyt Systemu Informatycznego polega na inwentaryzacji oraz analizie warstwy technicznej sprzętu komputerowego, zainstalowanego oprogramowania i posiadanych plików chronionych prawami autorskimi. Audyt szczegółowo obrazuje stan posiadanej infrastruktury IT,  jak również  wszelkich braków lub nadmiarów licencyjnych w zakresie zainstalowanego oprogramowania.

Jak to robimy

Firma ALT Systemy Informatyczne bierze czynny udział w programach partnerskich, zrzeszających uprawnionych audytorów legalności oprogramowania, takich jak SAM (Software Assets Management), MLMP (Microsoft License Management Program), Autodesk PCOA oraz Adobe SAM. Wynikiem audytów przeprowadzonych na przełomie ostatnich 7 lat jest stworzenie kompleksowej oferty audytowej dopasowanej do indywidualnych potrzeb klienta. Audyt przeprowadzany przez naszą firmą charakteryzuje się dodatkowo wsparciem techniczym, edukacyjnym oraz szkoleniowym, dzięki któremu pracownicy audytowanych firm posiadają niezbędną wiedzę w zakresie zarządzania kapitałem oprogramowania.

Etapy przeprowadzania audytu

• analiza posiadanej infrastruktury informatycznej
• sprawdzenie atrybutów oprogramowania
• skanowanie stacji roboczych oprogramowaniem audytorskim
• opracowanie i wykonanie raportu wstępnego z audytu
• opracowanie i przedstawienie planu naprawczego oraz działań z nim związanych
• opracowanie  i implementacja procedur zarządzania oprogramowaniem
• oznakowanie jednostek indywidualnymi metrykami
• spisanie uzupełnionego oprogramowania
• skanowanie stacji roboczych po zakończeniu okresu naprawczego
• opracowanie i wykonanie raportu końcowego
• podpisanie porozumień pomiędzy pracownikami a Pracodawcą
• przekazanie certyfikatów SAM oraz MLMP
• roczna opieka doradcza w zakresie licencjonowania oraz spraw związanych z zarządzaniem oprogramowaniem

Korzyści z przeprowadzenia audytu

1. Oszczędności finansowe dzięki lepszemu, bardziej wydajnemu i racjonalnemu wykorzystaniu posiadanego oprogramowania, a także zoptymalizowaniu planów inwestycyjnych, związynych z zakupem nowego oprogramowania
2. Standaryzacja oprogramowania oraz usprawnienie procesów pomocy technicznej
3. Uniknięcie problemów prawnych i finansowych związanych z naruszeniem ustawy o ochronie praw autorskich i prawach pokrewnych
4. Poznanie rzeczywistego stanu posiadanej infrastruktury IT
5. Wdrożenie procedur zarządzania oprogramowaniem oraz regulaminów, które regulują obowiązki i prawa pracowników w zakresie korzystania z firmowego oprogramowania
6. Uregulowanie odpowiedzialności prawnej za stan posiadanego i wykorzystywanego oprogramowania

Czym się wyróżniamy

1. Posiadamy ogromne doświadczenie w przeprowadzaniu audytów informatycznych oraz audytów bezpieczeństwa
2. Jako certyfikowany partner Microsoft z kompetencją “License Solutions” służymy pomocą i doradztwem w doborze programów oraz wersji licencyjnych oprogramowania
3. Dostarczamy i wdrażamy (w ramach umowy audytowej bez ponoszenia dodatkowych kosztów) oprogramowanie Uplook/Statlook 4 polskiej firmy A+C
4. Przeprowadzamy szkolenia dla kadry informatycznej oraz pracowników, które obejmują procedury zarządzania oprogramowaniem, ochronę własności intelektualnej oraz podstawy licencjonowania
5. Posiadamy bezpośredni kontakt z osobami odpowiedzialnymi za licencjonowanie u producentów zrzeszonych w BSA
6. Każdego naszego klienta traktujemy jak Partnera
7. Jesteśmy otwarci na propozycje oraz sugestie naszych Partnerów

AUDYT BEZPIECZEŃSTWA INFORMACJI

W dzisiejszych czasach nie wystarczy już tylko zbudowanie w miarę sprawnego i bezpiecznego systemu informatycznego. Wprowadzenie do sieci firewalla zabezpieczającego firmowe serwery i desktopy, używanie stale aktualizowanego oprogramowania antywirusowego oraz instalowanie aktualizacji do posiadanego oprogramowania to tylko nieliczne podstawowe i oczywiste czynności administracyjne.
Jak wskazały badania przeprowadzone przez firmy RSA i Verisgn (uznane autorytety w dziedzinie bezpieczeństwa IT) aż 80% incydentów związanych z infrastrukturą IT ma miejsce wewnątrz firmy. 70% przypadków naruszenia zasad bezpieczeństwa danych wynika z zaniedbania pracownika firmy – często są to działania wynikające z braku świadomości istniejących zagrożeń.

System Zarządzania Bezpieczeństwem Informacji wymaga stosowania i działania zgodnie z ustalonymi i powszechnie dostępnymi normami. Normy PN-ISO/IEC 27001:2007 oraz PN-ISO/IEC 17799:2007 są uznawanym standardem w zakresie bezpieczeństwa informatycznego. Normy zawierają wskazówki, rekomendacje oraz obszerny zestaw najlepszych praktyk. Normy te służą również jako podstawowy punkt odniesienia podczas budowy Systemu Zarządzania Bezpieczeństwem Informatycznym w dowolnym przedsiębiorstwie – bez względu na jego działalność, branżę i skalę działania.

Zakres audytu bezpieczeństwa informacji realizowany jest w 11 obszarach, które audytowane są przy wykorzystaniu uznanych metodyk. Obszary te to m.in.:

1. Polityka bezpieczeństwa;
2. Organizacja bezpieczeństwa informacji;
3. Zarządzanie aktywami;
4. Bezpieczeństwo zasobów ludzkich;
5. Bezpieczeństwo fizyczne i środowiskowe;
6. Zarządzanie systemami i sieciami;
7. Kontrola dostępu;
8. Zarządzanie ciągłością działania;
9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
10. Zarządzanie incydentami związanymi z bezpieczeństwem informacji;
11. Zgodność z wymaganiami prawnymi i własnymi standardami.

AUDYT OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych była ważnym zagadnieniem w UE od ponad 20 lat, ale dopiero zatwierdzone w marcu 2016 roku GDPR (General Data Protection Regulations) w sposób kompleksowy uregulowało obszar ochrony danych osobowych i wyniosło go na zupełnie nowy poziom. GDPR zastąpiło wcześniejszą dyrektywę: 1995 EU Directive on data protection. W Polsce GDPR nosi nazwę Rozporządzenie o Ochronie Danych Osobowych (RODO).

Jaka jest różnica pomiędzy dyrektywą a rozporządzeniem ?

Dyrektywa to nic innego jak akt ustawodawczy Unii Europejskiej. Wymaga on, aby państwa członkowskie osiągnęły konkretny rezultat, bez narzucania sposobu jego osiągania. Dyrektywy zazwyczaj pozostawiają krajom UE pewną dozę swobody odnośnie dokładnych zasad, które należy przyjąć podczas przeniesienia do prawa krajowego.

Rozporządzenie     również     jest     aktem     ustawodawczym     Unii     Europejskiej. W przeciwieństwie do dyrektywy jednak staje się natychmiast wykonalne jako prawo, jednocześnie we wszystkich państwach członkowskich.

Dlaczego wdrożenie RODO jest tak istotne?

Po pierwsze, będzie się tyczyło praktycznie wszystkich organizacji, nawet tych nie zlokalizowanych w Europie. Wynika to z faktu, że RODO nakazuje ochronę i nakłada przepisy na każdą organizację, która przetwarza dane osobowe obywateli UE, niezależnie od miejsca w którym przetwarzanie ma miejsce.

Po drugie, koszty nie spełnienia wymagań RODO mogą być bardzo wysokie.

Po trzecie, ze względu na ilość obsługiwanych klientów jest bardzo prawdopodobne, że będą oni domagali się realizacji praw jakie przysługują osobie, której dane dotyczą, np. prawo do bycia zapomnianym czy wstrzymanie przetwarzania danych osobowych. Brak możliwości spełnienia tych praw (brak uregulowanych kwestii ochrony danych osobowych) niechybnie będzie wiązał się z kontrolą organu nadzorczego i karami finansowymi

Po czwarte, nowe uregulowania prawne wymagają wdrożenia zabezpieczeń zarówno organizacyjnych jak i technicznych. Działania jakie należy podjąć to między innymi:

Zabezpieczenia organizacyjne:

    • Powołanie inspektora ochrony danych osobowych (jeżeli jest taka potrzeba);
    • Udokumentowania obszaru ochrony danych osobowych;
    • Zapewnienia szkoleń dla pracowników;
    • Realizacja analizy ryzyka ochrony danych osobowych;
    • Prowadzenie rejestru czynności przetwarzania;
    • Zawarcie umów powierzenia danych osobowych;
    • Określenie celów przetwarzania;
    • Proces realizacji praw osób, których dane dotyczą;
    • Zarządzanie zmianą w systemach teleinformatycznych.

Zabezpieczenia techniczne:

    • Ochrona danych przed wyciekiem;
    • Zarządzanie podatnościami w systemach teleinformatycznych
    • Szyfrowanie danych;
    • Testy penetracyjne;
    • Nadzór nad urządzeniami mobilnymi;
    • Nadzór nad uprzywilejowanymi użytkownikami;
    • System anti-malware (bezpieczeństwo punktu końcowego).

Ostateczny wybór zabezpieczeń powinien być poprzedzony analizą ryzyka i zostać dostosowany indywidualnie do organizacji.

Należy pamiętać, że wszystkie wdrożone w związku z GDPR zabezpieczenia mogą obniżyć wysokość kar nałożonych na organizację w związku z niespełnieniem wymagań GDPR.

RODO jest skupione na kompleksowej ochronie danych osobowych, a nie jedynie na zapewnieniu ich poufności. Zgodności z nowymi regulacjami unijnymi wymaga więc działań proaktywnych i daleko idącego wysiłku organizacyjnego.