Úvodní otázky:

• Proč auditovat útvar IT?
• Outsourcing auditu, penetrační test, bezpečnostní management, nebo interní audit?

Legislativní základna auditu IT:

• Doporučení dle ISO 27001 / 27002.
• ISVS.
• Zákon o kybernetické bezpečnosti a vyhláška 316/2014 Sb. (stručný úvod).
• Nařízení GDPR a ochrana osobních údajů.
• Cíle a postupy pro tvorbu bezpečnostních politik v organizaci.
• Plán kontinuity a havarijní plán.

Fyzická bezpečnost:

• Zabezpečení výpočetních sálů a routerů.
• Zabezpečení proti připojení cizích síťových karet.
• Personální bezpečnost a sociální hacking.
• Sociální sítě (Facebook atd.).

Prověrka zabezpečení počítače:

• Zabezpečení počítače na fyzické úrovni – BIOS, bootování, šifrování.
• Viry, spyware a další havěť.
• Politiky (GROUP POLICY) a co zejména by neměly povolit.

Prověrka přístupových oprávnění:

• Potřebné úvodní informace (domény, servery, seznam zaměstnanců, používané aplikace).
• Lokální a globální uživatelé a skupiny.
• Jak získat seznam přístupů a skupin.
• Použití příkazů z příkazové řádky.
• Vyhodnocení práv pomocí MS Excel.
• Výběr uživatelů / skupin z MS WINDOWS.
• Přístupová oprávnění k aplikacím.
• Kdo práva povoluje a proč.
• Politika přístupových oprávnění v organizaci (omezení časů, komplexita apod.).
• Audit rolí na databázovém serveru.
• Přístupová práva v MS Share Point.
• Ochrana šifrováním.

Jednoduchá prověrka zabezpečení sítě:

• Pasivní a aktivní prvky sítí.
• Protokoly.
• MAC adresa a IP adresa.
• Topologie sítě.
• Použití základních příkazů z příkazové řádky (PING, IPCONFIG, TRACERT, NSLOOKUP, NET...).
• K čemu slouží demilitarizovaná zóna.
• Co jsou to otevřené porty a jak je nalézt.
• Údaje o Vaší síti ve veřejně dostupných zdrojích.
• K čemu slouží service packy a patche.
• Možnost nasazení security scanneru při auditu.
• Některé techniky často zneužívané hackery a obrana proti nim.

Prověrka řízení a organizace útvaru IT:

• Zálohování a zálohovací plány a jejich audit.
• Antiviry a jejich aktualizace.
• Helpdesk a vyřizování požadavků uživatelů.
• Projekty v IT.
• Fáze projektu, postup projektu, Ganttův diagram.
• Změnová řízení.
• Skladové hospodářství v IT.
• Veřejná výběrová řízení v IT.
• Práce bezpečnostních specialistů a nástroje a postupy, které mají k dispozici.
• Logování, jeho význam a jeho audit.
• Vzdálený přístup do organizace a jeho audit.
• Použití a zabezpečení elektronických podpisů a časových razítek.

Prověrka správy licencí:

• Druhy dokladů týkajících se počtu licencí.
• Softwarový audit pro ověření licenční politiky v organizaci.
• Jak zjistit počet skutečně nainstalovaných licencí.

Ochrana osobních údajů a utajovaných skutečností v IT:

• Legislativní požadavky – GDPR, zákon o ochraně utajovaných skutečností atd.
• Prověrka přístupů nového uživatele.
• Prověrka přístupů k jednotlivým nebezpečným kategoriím webových stránek.
• Opatření proti úniku utajovaných skutečností.

Součástí semináře jsou:

• Případové studie: plán prověrky, typická zjištění, formulace závěrů a možnosti jejich odstranění.
• Pravděpodobné chyby, které budeme zejména nacházet a vyhledávat.
• Procvičení na příkladech.
• Možnost procvičení příkladů na PC lektora nebo na doneseném notebooku.